С мая в Евросоюзе вступают в силу новые правила обработки персональных данных. Они касаются всех стран Европейского союза. Также их должны придерживаться все предприятия, которые оказывают услуги в ЕС.
Конечно, речь идет прежде всего о крупных интернет-компаниях, имеющих американское происхождение. Например, Facebook, который недавно допустил утечку данных миллионов пользователей, чем вызвал гнев Евросоюза.
Доставалось от Еврокомиссии и другому гиганту родом из США - Google.
Правила нацелены на то, чтобы лучше защищать личные данные граждан и их права. Они обозначаются аббревиатурой GDPR (The General Data Protection Regulation, Общие правила защиты данных).
Кто должен соблюдать GDPR
Нововведения касаются любых данных, которые собираются, обрабатываются и/или хранятся в Европе. То есть, под их действие попадает любая компания, которая предоставляет услуги или продает товары жителям стран Европы, обрабатывая при этом их данные.
Правилами запрещена передача данных за пределы ЕС в любую страну, которую ЕС не считает соответствующей законам о защите персональных данных.
Если какая-либо компания передает личные данные пользователей за пределы ЕС для обработки или хранения, то предварительно должна получить явное согласие от пользователя.
О каких данных идет речь
Данные пользователей, которые охраняются правилами, можно разделить на две группы. Первая – это личные данные, к которым относится имя, дата рождения, электронная почта, местонахождение, логины и другие идентификаторы. Теперь к таким данным отнесли еще и IP-адрес.
Вторая группа – деликатные данные. К ним относят такие вещи, как религиозная и этническая принадлежность, политические убеждения, сексуальная ориентация, и так далее. В нововведенных правилах уделяется больше, чем ранее, внимания защите деликатной информации.
Новые правила обработки данных
В правилах прописаны шесть основных принципов, которые должны соблюдаться при обработке данных пользователей.
1) Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
2) Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
3) Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
4) Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
5) Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
Это очень важный пункт. По сути, он предписывает автоматически удалять данные человека, если тот прекратил использовать сервис (например, удалил свой аккаунт из социальной сети).
6) Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.
Права граждан ЕС
Также обозначены официальные права, которыми обладают владельцы данных. Это: право быть проинформированным, право доступа, право на исправления, право на объект, право на переносимость данных, право на удаление данных, право не подвергаться автоматическому принятию решений, право ограничить обработку данных.
GDPR значительно расширяет права граждан и резидентов ЕС по контролю за их данными. Они могут запрашивать подтверждение факта обработки их данных, место и цель обработки, категории этих данных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения персональных данных и требовать их исправления или прекращения. Кроме того, владельцы данных вправе требовать полного их удаления.
GDPR повышает требования в отношении формы получения согласия на обработку данных. Это согласие должно быть выражено в форме утверждения или в форме четких активных действий пользователя, то есть никаких по умолчанию проставленных галочек быть не может.
Что касается детей, то согласие на обработку их персональных данных должно быть дано их родителями или официальными представителями. С какого возраста ребенок сам может принимать решение о своих персональных данных, каждая страна регулирует самостоятельно.
Также компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании по требованию самого субъекта этих данных. То есть, если пользователь переходит с одного сервиса на другой, он может потребовать у первого передать все его данные второму, чтобы не вносить их самому.
В любой организации, которая занимается обработкой данных, должен быть сотрудник, ответственный за их защиту.
Компании обязаны уведомлять регулирующие органы (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными, в течение 72 часов после обнаружения.
Правила вступают в силу с 25 мая.
Скандалы с пропажей личных данных в ЕС
Этой весной прогремел скандал с утечкой данных пользователей из Facebook. Главу компании Марка Цукерберга вызывали в Европарламент для объяснений относительно утечки.
Данные 87 млн пользователей, в том числе и самого Цукерберга, были "слиты" компании Cambridge Analytica. Та, в свою очередь, имела возможность незаконно получить данные миллионов пользователей соцсети и повлиять на выборы многих стран мира, в том числе и американские 2016 года. После скандала соцсеть изменила настройки безопасности пользователей.
При этом к новым европейским правилам Facebook не особо активно готовится, и ряд европейских правозащитников и экспертов в сфере интернет-безопасности выражают опасения, что это все может плохо закончиться для Facebook в Европе.
К Google у Европы также были претензии. Так, В 2014 году Европейский суд обязал Google удалять личные данные из поиска по запросам владельцев этих данных. Это называется "право на забвение".
Поводом послужило то, что в одно из учреждений по защите персональных данных обратился гражданин Испании. Он жаловался на то, что, задавая его имя в поиске Google, любой пользователь может получить сведения о принудительной продаже его дома, имевшей место 15 лет назад. Это, по мнению истца, нарушает право на конфиденциальность информации.
В марте личные данные около 150 млн пользователей сайта и мобильного приложения по подсчету калорий MyFitnessPal были украдены хакерами. Хакерам не удалось получить доступ к кредитным картам, номерам карточек социального страхования и водительским правам. Компания уже предупредила пользователей об инциденте и попросила их поменять пароли в приложении.
В апреле 2017 года произошел скандал, участниками которого стали Uber и сервис Unroll.me. Unroll предоставлял пользователям возможность бесплатно отписаться от ненужных почтовых рассылок, но данные подписчиков продавал. Uber купил эти данные для слежки за пользователями своего конкурента Lyft.
В 2017 году также французская журналистка Жюдит Дюпорталь запросила у сервиса знакомств Tinder все данные, которые компания хранит о ней. Оказалось, что это 800-страничный документ со всеми ее переписками и интересами. Там были все 1700 сообщений, которые она отправила с 2013 года, даты заходов в аккаунт и всех переписок, ее лайки в фейсбуке, фотографии из инстаграма и прочая информация.
Новыми правилами Европа стремится ограничить использование данных граждан ЕС за его пределами, там более что крупнейшие соцсети и сервисы, популярные среди его граждан, имеют американское происхождение.