ОШЕЙНИК ДЛЯ БОЛЬ­ШО­ГО БРА­ТА

Ekspert - - СОДЕРЖАНИЕ -

Ев­ро­па су­ще­ствен­но уже­сто­ча­ет пра­ви­ла ис­поль­зо­ва­ния пер­со­наль­ных дан­ных ин­тер­нет­поль­зо­ва­те­лей. И те­перь свои дан­ные в Ев­ро­пе мож­но бу­дет ото­звать

Ев­ро­па су­ще­ствен­но уже­сто­ча­ет пра­ви­ла ис­поль­зо­ва­ния пер­со­наль­ных дан­ных ин­тер­нет-поль­зо­ва­те­лей. И те­перь свои дан­ные в Ев­ро­пе мож­но бу­дет ото­звать

кон­це мая в Ев­ро­со­ю­зе всту­пил в си­лу Об­щий ре­гла­мент о за­щи­те дан­ных (GDPR), за­ме­нив­ший Ди­рек­ти­ву о за­щи­те пер­со­наль­ных дан­ных 1995 го­да. Но­вый до­ку­мент уси­лил за­щи­ту дан­ных и за­дал но­вый стан­дарт их об­ра­бот­ки и хра­не­ния. Имен­но по­это­му в по­след­ние неде­ли мая ин­тер­нет-поль­зо­ва­те­ли во всем ми­ре по­лу­чи­ли мно­же­ство пи­сем от раз­ных сай­тов с ин­фор­ма­ци­ей об из­ме­не­ни­ях в пра­ви­лах ис­поль­зо­ва­ния и хра­не­ния пер­со­наль­ных дан­ных.

Хо­тя за­кон на­ча­ли об­суж­дать еще шесть лет на­зад и о да­те его вступ­ле­ния в си­лу бы­ло из­вест­но, мно­гие ком­па­нии не успе­ли под­го­то­вить­ся — им при­шлось ме­нять сай­ты и поль­зо­ва­тель­ские со­гла­ше­ния в по­след­ний мо­мент. Так, аме­ри­кан­ские ме­диа USA Today, The Verge и мно­гие дру­гие со­зда­ли спе­ци­аль­ные стра­ни­цы, на ко­то­рые пе­ре­на­пра­ви­ли по­се­ти­те­лей из ЕС. Хо­тя ре­гла­мент изна­чаль­но вос­при­ни­мал­ся как по­пыт­ка про­ти­во­сто­ять мо­но­по­лии ве­ду­щих ги­ган­тов от­рас­ли, та­ких как Google и Facebook, в ито­ге он за­тро­нул все без ис­клю­че­ния ре­сур­сы, и его вли­я­ние на ма­лые ин­тер­нет-ком­па­нии неод­но­знач­но.

Сло­жив­ший­ся за по­след­ние де­сять лет ме­ха­низм мо­не­ти­за­ции ин­тер­нет­про­ек­тов по боль­шей ча­сти ос­но­ван на продаже це­ле­вой ре­кла­мы, что ста­ло воз­мож­ным бла­го­да­ря сбо­ру огром­но­го ко­ли­че­ства дан­ных об ин­те­ре­сах и по­ве­де­нии поль­зо­ва­те­лей Се­ти. Боль­шин­ство круп­ней­ших сай­тов от­сле­жи­ва­ют дей­ствия поль­зо­ва­те­лей и оце­ни­ва­ют по­тен­ци­аль­ную «по­лез­ность» каж­до­го из них. Имен­но в этом сек­рет бес­плат­но­сти боль­шин­ства сер­ви­сов, что пря­мо под­черк­нул ос­но­ва­тель Facebook Марк Цу­кер­берг в сво­их недав­них вы­ступ­ле­ни­ях в Кон­грес­се

ВСША. Цу­кер­берг да­же за­явил, что со­кра­ще­ние за­ви­си­мо­сти от ре­кла­мо­да­те­лей по­тре­бу­ет со­зда­ния плат­ной вер­сии Facebook. На про­тя­же­нии мно­гих лет ве­ду­щие со­ци­аль­ные се­ти, по­лу­чав­шие в свое рас­по­ря­же­ние ко­лос­саль­ный мас­сив дан­ных, за­ра­ба­ты­ва­ли миллиарды дол­ла­ров на их продаже сто­рон­ним про­ек­там и ре­кла­мо­да­те­лям. При этом ни­кто не мог га­ран­ти­ро­вать со­хран­но­сти дан­ных и обес­пе­чить про­зрач­ный и по­нят­ный ме­ха­низм их ис­поль­зо­ва­ния, не го­во­ря о том, что вы­го­да ре­кла­мо­да­те­ля не озна­ча­ет вы­го­ду поль­зо­ва­те­ля.

При­ве­сти к еди­но­об­ра­зию все за­ко­ны о за­щи­те пер­со­наль­ных дан­ных, су­ще­ству­ю­щие в ев­ро­пей­ских стра­нах, и по­вы­сить кон­фи­ден­ци­аль­ность дан­ных граж­дан и ре­зи­ден­тов ЕС ре­ше­но бы­ло еще два го­да на­зад. Но­вый ре­гла­мент по­ме­нял па­ра­диг­му вза­и­мо­от­но­ше­ний меж­ду поль­зо­ва­те­ля­ми и ком­па­ни­я­ми, со­би­ра­ю­щи­ми пер­со­наль­ную ин­фор­ма­цию. Ес­ли рань­ше поль­зо­ва­те­ли без­дум­но про­ли­сты­ва­ли текст со­гла­сия на об­ра­бот­ку дан­ных, что­бы по­ско­рее на­жать кноп­ку «При­нять», то те­перь они, как пред­по­ла­га­ет­ся, бу­дут да­вать та­кое со­гла­сие бо­лее осо­знан­но. Во вре­мя дей­ствия преж­ней ди­рек­ти­вы дан­ные ев­ро­пей­цев слов­но на­хо­ди­лись в пле­ну у ком­па­ний, ко­то­рые без спро­са про­да­ва­ли ин­фор­ма­цию тре­тьим ли­цам, и на ее ос­но­ва­нии поль­зо­ва­те­лям по­ка­зы­ва­ли ре­кла­му. По­сле вве­де­ния но­во­го ре­гла­мен­та ком­па­нии по-преж­не­му бу­дут про­да­вать дан­ные и на­стра­и­вать для каж­до­го пер­со­на­ли­зи­ро­ван­ную ре­кла­му, но те­перь поль­зо­ва­те­лям да­ют ощу­ще­ние вла­сти над ин­фор­ма­ци­ей: не «Боль­шой Брат сле­дит за мной», а «я поз­во­лил Боль­шо­му Бра­ту сле­дить за мной, но мо­гу и пе­ре­ду­мать». Ком­па­нии от­ныне долж­ны объ­яс­нять поль­зо­ва­те­лям, ка­кие имен­но дан­ные бу­дут со­бра­ны и что с ни­ми бу­дет сде­ла­но. Ре­гла­мент да­ет ос­но­ва­ния ве­сти су­деб­ные раз­би­ра­тель­ства в ин­те­ре­сах поль­зо­ва­те­лей, что, ве­ро­ят­но, бу­дет ак­тив­но про­ис­хо­дить в бли­жай­шие го­ды.

Де­сять миллионов ев­ро штра­фа

Ав­то­ры ре­гла­мен­та объ­яс­ня­ют не­об­хо­ди­мость об­нов­ле­ния ре­гу­ля­тор­ных мер тем, что с мо­мен­та вве­де­ния ди­рек­ти­вы 1995 го­да мир дан­ных в ин­тер­нет­про­стран­стве су­ще­ствен­но из­ме­нил­ся. По­жа­луй, наи­бо­лее су­ще­ствен­ное из­ме­не­ние в ре­гу­ли­ро­ва­нии ис­поль­зо­ва­ния пер­со­наль­ных дан­ных по срав­не­нию с ди­рек­ти­вой 1995 го­да свя­за­но с рас­ши­ре­ни­ем юрис­дик­ции ре­гла­мен­та. Ди­рек­ти­ва 1995 го­да вы­зы­ва­ла мно­го спо­ров и су­деб­ных ис­ков из-за то­го, что ее тер­ри­то­ри­аль­ная при­ме­ни­мость трак­то­ва­лась неод­но­знач­но. Но­вый ре­гла­мент лик­ви­ди­ру­ет по­доб­ные раз­но­чте­ния: он при­ме­ня­ет­ся ко всем ком­па­ни­ям, ис­поль­зу­ю­щим дан­ные граж­дан и ре­зи­ден­тов стран ЕС, неза­ви­си­мо от то­го, где рас­по­ло­же­на са­ма ком­па­ния. То есть да­же рос­сий­ские фир­мы, чьи­ми услу­га­ми поль­зу­ют­ся ев­ро­пей­цы, то­же долж­ны со­блю­дать но­вый ре­гла­мент. Кро­ме то­го, неев­ро­пей­ские ком­па­нии, об­ра­ба­ты­ва­ю­щие дан­ные ев­ро­пей­цев, долж­ны со­здать пред­ста­ви­тель­ство в ЕС.

Еще од­на но­вин­ка — вве­де­ние в ком­па­ни­ях долж­но­сти от­вет­ствен­но­го за за­щи­ту дан­ных (data protection officer). Назна­чить та­ко­го со­труд­ни­ка обя­за­на каж­дая ор­га­ни­за­ция, ко­то­рая про­во­дит ре­гу­ляр­ный и си­сте­ма­ти­че­ский мо­ни­то­ринг пер­со­наль­ных дан­ных или об­ра­ба­ты­ва­ет спе­ци­аль­ные дан­ные — на­при­мер, о су­ди­мо­стях и со­вер­шен­ных пре­ступ­ле­ни­ях.

Но­вый ре­гла­мент уже­сто­чил штра­фы за на­ру­ше­ние пра­вил об­ра­бот­ки дан­ных

поль­зо­ва­те­лей. В слу­чае их несо­блю­де­ния ком­па­ния бу­дет обя­за­на за­пла­тить штраф в раз­ме­ре до де­ся­ти миллионов ев­ро или до двух про­цен­тов сво­е­го гло­баль­но­го го­до­во­го до­хо­да (в за­ви­си­мо­сти от то­го, ка­кая сум­ма боль­ше). Ес­ли небреж­ность ком­па­нии при­ве­дет к утеч­ке дан­ных, штра­фы до­стиг­нут 20 млн ев­ро ли­бо четырех про­цен­тов гло­баль­но­го до­хо­да ком­па­нии (опять-та­ки необ­хо­ди­мо бу­дет за­пла­тить бóль­шую сум­му). Но­вые штра­фы в два­дцать раз боль­ше штра­фов, преду­смот­рен­ных за­ко­на­ми стран ЕС в со­от­вет­ствии с ди­рек­ти­вой 1995 го­да. Кро­ме то­го, в со­от­вет­ствии с ре­гла­мен­том поль­зо­ва­те­ли (субъ­ек­ты дан­ных) име­ют пра­во на ком­пен­са­цию, ес­ли они по­нес­ли ущерб из-за на­ру­ше­ний при об­ра­бот­ке их пер­со­наль­ных дан­ных. В на­ци­о­наль­ные за­ко­но­да­тель­ства стран ЕС мо­гут быть так­же вне­се­ны до­пол­ни­тель­ные ме­ры на­ка­за­ния за на­ру­ше­ние пра­вил об­ра­бот­ки пер­со­наль­ных дан­ных, вплоть до тю­рем­но­го за­клю­че­ния лиц, от­вет­ствен­ных за на­ру­ше­ния.

За что штра­фу­ют

За на­ру­ше­ние ка­ких пра­вил ком­па­нии бу­дут штра­фо­вать по но­во­му ре­гла­мен­ту? Во-пер­вых, за непо­нят­ные и труд­но­до­ступ­ные фор­мы со­гла­сия на об­ра­бот­ку пер­со­наль­ных дан­ных. Ес­ли рань­ше ком­па­нии ча­сто раз­ме­ща­ли на сай­тах про­стран­ные и труд­но­чи­та­е­мые фор­мы со­гла­сия, пол­ные слож­ных юри­ди­че­ских тер­ми­нов, то но­вый ре­гла­мент обя­зы­ва­ет их со­став­лять до­ступ­ные по­ни­ма­нию фор­мы, на­пи­сан­ные про­стым язы­ком.

Во-вто­рых, штраф гро­зит ком­па­ни­ям, ко­то­рые не уве­до­мят поль­зо­ва­те­лей об утеч­ке дан­ных, ес­ли она угро­жа­ет пра­вам и сво­бо­дам от­дель­ных лиц. При этом со­об­щить об утеч­ке необ­хо­ди­мо в те­че­ние 72 ча­сов с мо­мен­та ее об­на­ру­же­ния.

В-тре­тьих, на­ка­за­ния сле­ду­ет ожи­дать ком­па­ни­ям, ко­то­рые по тре­бо­ва­нию поль­зо­ва­те­ля не предо­ста­вят ему ин­фор­ма­цию о том, ка­кие его дан­ные об­ра­ба­ты­ва­ют­ся и с ка­кой це­лью. Ре­гла­мент раз­де­ля­ет по­ня­тия «кон­тро­лер» и «об­ра­бот­чик дан­ных». Кон­тро­ле­ром ре­гла­мент на­зы­ва­ет ор­га­ни­за­цию, ко­то­рая опре­де­ля­ет це­ли и спо­соб об­ра­бот­ки дан­ных поль­зо­ва­те­лей, а об­ра­бот­чи­ком — ор­га­ни­за­цию, ко­то­рая дей­ству­ет от ли­ца кон­тро­ле­ра. От­вет­ствен­ность за на­ру­ше­ние пра­вил об­ра­бот­ки несет кон­тро­лер, да­же ес­ли на­ру­ше­ние свя­за­но с дей­стви­я­ми об­ра­бот­чи­ка. По за­про­су поль­зо­ва­те­ля кон­тро­лер обя­зан бес­плат­но предо­ста­вить ему элек­трон­ную ко­пию его пер­со­наль­ных дан­ных, а поль­зо­ва­тель, в свою оче­редь, име­ет пра­во на пе­ре­но­си­мость. Это прин­ци­пи­аль­но но­вое пра­во, по ко­то­ро­му поль­зо­ва­тель мо­жет пе­ре­дать свои дан­ные, ра­нее предо­став­лен­ные од­но­му кон­тро­ле­ру, дру­гой ор­га­ни­за­ции.

Еще од­но пра­во поль­зо­ва­те­лей, ко­то­рое ком­па­ни­ям от­ныне за­пре­ще­но на­ру­шать, — пра­во на за­бве­ние. Ес­ли поль­зо­ва­тель пе­ре­ду­ма­ет предо­став­лять свои дан­ные ком­па­нии, по но­вым пра­ви­лам он смо­жет ото­звать свое со­гла­сие на об­ра­бот­ку дан­ных — и этот ню­анс так­же дол­жен со­дер­жать­ся в форме со­гла­сия. По тре­бо­ва­нию поль­зо­ва­те­ля кон­тро­лер обя­зан уда­лить его пер­со­наль­ные дан­ные, пре­кра­тить их даль­ней­шее рас­про­стра­не­ние и заставить тре­тьи ли­ца так­же пре­кра­тить их об­ра­бот­ку. Ис­клю­че­ние со­став­ля­ют дан­ные, уда­ле­ние ко­то­рых про­ти­во­ре­чит ин­те­ре­сам об­ще­ства или на­ру­ша­ет фун­да­мен­таль­ные пра­ва ев­ро­пей­ских граж­дан, — на­при­мер, пра­во на сво­бо­ду сло­ва. Так что, ко­неч­но, мно­го­чис­лен­ные ла­зей­ки в за­коне су­ще­ству­ют. Но, что важ­но, ре­гла­мент обя­зы­ва­ет ком­па­нии сле­до­вать прин­ци­пу кон­фи­ден­ци­аль­но­сти по умол­ча­нию. Этот озна­ча­ет, что за­щи­ту дан­ных необ­хо­ди­мо за­кла­ды­вать уже в пер­во­на­чаль­ный ди­зайн про­дук­та, в на­ча­ле раз­ра­бот­ки. Со­от­вет­ствен­но, ре­гла­мент по­вли­я­ет на гло­баль­ный ин­тер­нет в це­лом. Круп­ным про­ек­там невы­год­но раз­ра­ба­ты­вать спе­ци­аль­ные вер­сии для ЕС, и во из­бе­жа­ние кон­флик­тов они, ско­рее, со­от­вет­ству­ю­щим об­ра­зом мо­дер­ни­зи­ру­ют сер­вис для всех поль­зо­ва­те­лей. Об этом уже за­яви­ли мно­гие круп­ные ком­па­нии, вклю­чая Facebook. Что ка­са­ет­ся ма­лых ком­па­ний и стар­та­пов, у ко­то­рых нет мощ­но­го юри­ди­че­ско­го ре­сур­са, то по­ка они лишь столк­ну­лись с до­пол­ни­тель­ны­ми рис­ка­ми и на­груз­кой. Лю­бая ком­па­ния с чис­лом со­труд­ни­ков свы­ше 250 от­ныне долж­на раз­ра­бо­тать по­дроб­ную до­ку­мен­та­цию о при­чине и объ­е­ме сбо­ра дан­ных, а так­же опи­сать тех­ни­че­ские сред­ства их пе­ре­да­чи, об­ра­бот­ки и обес­пе­че­ния кон­фи­ден­ци­аль­но­сти.

Ин­те­рес­но, что сво­бод­ное рас­про­стра­не­ние ин­фор­ма­ции, ко­то­рое ста­ло сим­во­лом от­кры­то­го рын­ка и за­пад­ных де­мо­кра­тий, в по­след­ние го­ды столк­ну­лось с про­ти­во­дей­стви­ем со сто­ро­ны сво­их же апо­ло­ге­тов. За­прос на при­ват­ность и без­опас­ность ин­фор­ма­ции при­шел вслед за бес­кон­троль­ным ин­фор­ма­ци­он­ным по­то­ком, ку­да по­па­да­ли любые кус­ки ин­фор­ма­ции — от лич­ных до по­ли­ти­че­ски чув­стви­тель­ных. За­пад­ные стра­ны са­ми же по­до­рва­ли ве­ру лю­дей в сво­бод­ный ин­тер­нет и без­опас­ность ин­фор­ма­ции — вспом­ним лишь де­ло Эд­вар­да Сно­уде­на. За­кон­ность, спра­вед­ли­вость и про­зрач­ность ин­тер­не­та не смог­ли вы­жить са­ми по се­бе и пре­вра­ти­лись в за­ко­но­да­тель­ное тре­бо­ва­ние, ко­то­рое силь­но не из­ме­нит ре­аль­ность, но даст поль­зо­ва­те­лям фор­маль­ное ощу­ще­ние без­опас­но­сти. ■

Newspapers in Russian

Newspapers from Russia

© PressReader. All rights reserved.