GDPR вступил в силу: компании оказались не готовы
25 мая Европейский союз официально перешел на новые правила обработки персональных данных GDPR (Общий регламент по защите данных ЕС 2016/679 от 27 апреля 2016 года). Важной особенностью GDPR является экстерриториальный принцип действия, так что он затрагивает американские и российские компании, обслуживающие потребителей в ЕС. Штрафы могут достигать €20 млн или 4 % дохода компании на мировом рынке за год. Для обычных пользователей внешне мало что изменится: как правило, придется снова принять различные соглашения об обработке своих персональных данных, зато защита последних предусмотрена на гораздо более серьезном уровне.
Под персональными данным в GDPR подразумевается любая информация, относящаяся к физическому лицу, по которой можно прямо или косвенно его идентифицировать. То есть речь может идти об имени, данных о местоположении, онлайн-идентификаторе и прочих факторах вроде IP-адреса, помогающих установить личность. Есть и особые конфиденциальные персональные данные: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, генетическая и биометрическая информация, сведения о состоянии здоровья, сексуальной жизни.
В качестве основных принципов обработки персональных данных по GDPR выступают:
- персональные данные должны обрабатываться законно, справедливо и прозрачно, причем любую информацию о целях, методах и объемах обработки персональных данных компании обязаны излагать максимально доступно и просто;
- данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией или службой;
- нельзя собирать личные данные в большем объеме, чем необходимо для целей обработки;
- неточные личные данные должны быть удалены или исправлены по требованию пользователя;
- личные данные должны храниться только в той форме и на тот срок, который позволяет идентифицировать человека в заявленных целях обработки;
- при обработке персональных данных компании обязаны обеспечить их защиту от несанкционированного или незаконного доступа, уничтожения и повреждения.
GDPR требует, чтобы согласие пользователя на обработку его персональных данных было выражено в форме утверждения или в форме четких активных действий. Кроме того, согласие может считаться недействительным, если у пользователя не было возможности отозвать его без ущерба для себя. Согласие на обработку данных ребенка (в зависимости от государств ЕС — до 13–16 лет) должно быть авторизовано родителями или законными представителями.
О любых нарушениях, связанных с персональными данными, компании должны сообщать в течение 72 часов после обнаружения проблемы регулирующим органам. В случае дополнительных задержек или попыток скрыть факт утечек штрафа компаниям не избежать.
Граждане и резиденты ЕС в рамках GDPR получают расширенные права, касающиеся их персональных данных. Они имеют возможность запрашивать подтверждение факта обработки их данных, период, место и цель обработки, категории информации, название третьих сторон, которым раскрываются персональные данные, уточнять источник получения организацией данных и требовать внесения поправок. Также пользователь имеет право требовать прекращения обработки своих данных.
Любопытное новшество GDPR — право на перенос личных данных (right to data portability), которое обязывает компании по запросу пользователя передавать бесплатно личные данные последнего другой компании. То есть пользователь может попросить, например, передать всю историю своих запросов от одной поисковой системы другой или предпочтения покупок из одного магазина в другой.
Многие пользователи готовились к 25 мая всерьез, так что как только правила GDPR вступили в силу, на ряд крупнейших компаний вроде Facebook, Google и Instagram посыпались судебные иски на миллионы евро. Истцы среди прочего обвинили компании в принудительном согласии: то есть им было предложено подтвердить согласие с GDPR без ясного объяснения сути всех новшеств или же новое пользовательское соглашение компания назвала изменением внутреннего регламента якобы с целью запутать людей.
Правила GDPR обсуждались четыре года, регулирующие органы дали компаниям два года на приведение своей политики и инфраструктуры в соответствие с GDPR. Многие сделали это заранее, но большинство оказалось не готово к новшествам.
По мнению адвоката и главного сотрудника по конфиденциальности в United Lex Джейсона Стрэйта (Jason Straight), немного компаний, особенно американских, полностью соответствуют требованиям GDPR. В опросе более 1000 предприятий, проведенном Институтом Понемона в апреле, половина компаний заявила, что они не смогут соответствовать к сроку. Если говорить о технологическом секторе, таковых оказалось 60 %.
«На протяжении многих лет компании работали по принципу: „Сколько персональных данных мы можем заполучить от пользователей? А уж как использовать этот массив информации, мы выясним позже!“ Это не будет приемлемым способом работы при GDRP, — сказал господин Стрэйт. — Есть некоторые компании, с которыми мы разговаривали, которые возмущаются: „Вы шутите? Если бы мы рассказали людям, как используем их данные, они никогда бы не дали их нам!“. А я говорю в ответ что-то такое: „Да, отчасти, в этом и цель новых правил“».
Для компаний, которые действовали по принципу извлечения максимума информации о пользователях для последующего возможного анализа, реорганизация в рамках GDPR во многом может оказаться пыткой: ведь нужно удалить лишнюю информацию, оставив лишь самую необходимую для текущих задач.
Но, возможно, самым серьезным требованием GDPR, которое приводит в ужас компании, является право на запросы доступа к персональным данным. Пользователи из ЕС могут запрашивать удаление информации, исправлять ее, если она неверна, и даже получать ее в удобном для переноса виде. Но эти данные могут быть на пяти разных серверах в массе различных форматов. Другими словами, переход на стандарты GDPR требует создание внутренней инфраструктуры, позволяющей эффективно обрабатывать запросы пользователей.
Кроме того, персональные данные — размытая категория. Имена, адрес электронной почты, номера телефонов, данные о местоположении — это очевидно. Но есть более двусмысленные данные вроде непрямых отсылок: «Высокий лысый парень, который живет на правой стороне улицы Ленина». По словам Джейсона Стрэйта, если кто-то написал подобное в письме, формально в рамках GDPR компания должна предоставить эту информацию по запросу.
Переход на GDPR — болезненная процедура. Например, год назад 61 % мировых компаний даже не начинали работу по адаптации новых правил. Понятно, что европейские предприятия, особенно в странах вроде Германии и Великобритании, где и ранее существовали довольно жесткие законы о неприкосновенности частной жизни, лучше подготовлены. Тем не менее, опрос в январе 2018 года показал, что четверть лондонских компаний даже не знает, что такое GDPR.
Профессор антропологии и информатики Университета Колорадо в городе Боулдере Элисон Кул (Alison Cool) написала в The New York Times, что закон ошеломляюще сложен и непонятен для людей, которые пытаются его соблюдать. Ученые и менеджеры данных, с которыми она говорила, сомневаются в том, что полное соответствие правилам вообще возможно. Это тревожный звонок, учитывая тот факт, что штрафы могут достигать 4 % мировых доходов (то есть могут легко лишить всей прибыли).
Принятие правил GDPR заставило американского бизнесмена Питера Тиля (Peter Thiel), сооснователя PayPal и президента хедж-фонда Clarium Capital, во время беседы на Экономическом клубе Нью-Йорка в марте обвинить ЕС в злодейском протекционизме: «В Европе нет успешных технологических компаний, и они ревностно относятся к США, поэтому они и наказывают нас».
Поскольку во многом правила GDPR неоднозначны, их реализация на практике будет зависеть от действий регулирующих органов. В конечном итоге появятся нормы: кого будут преследовать власти, какие штрафы взимать с нарушителей и за какое поведение. Предполагается, что поначалу регуляторы не будут лютовать — дадут компаниям время привыкнуть к новой реальности. Но точно предсказать будущее сложно, ведь частично реализация GDPR зависит от активности пользователей.
Если резидент ЕС подает запрос на получение своих персональных данных, у компании есть 30 дней для ответа. Например, компания получает один из этих запросов, но все еще не полностью готова к GDPR и буквально неспособна реагировать. Если она не отвечает, субъект данных может подать жалобу местным органам. GDPR требует от регулятора действий для претворения закона в жизнь. Штраф может и не достигать 4 %, но чиновники не могут просто отправить жалобы в корзину. А если запросов будут тысячи, начнутся проблемы. 17 из 24 регуляторов ЕС, опрошенных Reuters в этом месяце, сказали, что не готовы к новому закону, потому что не имеют финансирования или законных полномочий выполнять свои обязанности.
Другая ситуация связана с информированием об утечках: компании обязаны сообщать органам о проблемах в течение 72 часов, но какова должна быть реакция последних — не вполне ясно. Регуляторы могут быть не готовы к аудиту безопасности компании или иным мерам по защите частной жизни резидентов ЕС. Правила GDPR должны применяться только к жителям Евросоюза, но ведь большинство интернет-компаний занимаются бизнесом в ЕС, так что им нужно быть готовым реагировать на требования GDPR. Постепенно принятие такого законодательства может стать нормой и в других странах. Тем временем появляются новости о том, что новый регламент ЕС по защите персональных данных вынуждает компании отказываться от европейского трафика.