Селфі під загрозою? Нові норми захисту даних у ЄС

Корреспондент.net,  16 червня 2018, 19:49
💬 1
👁 1640

У Європейському Союзі почав діяти новий регламент захисту й обробки персональних даних - GDPR. Його положення торкнуться усього світу. Кореспондент розбирався в тому, що придумали європейці і як це зачепить Україну.

 
У сучасному світі інформація про людину - найдорожчий товар. Захист особистих даних - нагальна потреба, особливо актуальна останнім часом, пише Валерій Літонінський в №11 Журналу Корреспондент. Як ми вже бачили, за допомогою незаконного збору персональної інформації можуть виграватися вибори в найбільш розвинених країнах світу, просуваються нові товари і продаються нові ідеї. У Європейському Союзі на ці виклики відповіли новим законом про обробку персональних даних, який не тільки буде діяти в Європі, але і торкнеться людей далеко за її межами.
 
Що вводять
 
Багато з нас останнім часом отримували різноманітні електронні листи і повідомлення від різних інтернет-сервісів і додатків із приводу роботи з нашими персональними даними. Нашестя повідомлень пов'язано зі зміною в політиці конфіденційності та введенням нових інструментів управління збором даних. А підштовхнув компанії до таких новацій регламент GDPR.
 
GDPR - General Data Protection Regulation - це правовий акт Європейського Союзу, який вступив у силу наприкінці травня і покликаний посилити контроль над процесом збору, обробки і передачі персональних даних резидентів і громадян ЄС як на території Євросоюзу, так і за його межами.
 
Ось простий приклад: в Україні часто можна зіткнутися з ситуацією, коли, скориставшись послугами якогось таксі, потім отримуєш масу рекламних повідомлень від інших служб. Тобто клієнтські дані передаються третім особам, формуються якісь бази SMS-розсилок тощо. У Європі після введення GDPR така ситуація буде неможлива або загрожуватиме серйозними штрафами для її ініціаторів.
 
Новим законом значно розширюється поняття "персональні дані". Під нього підпадає будь-яка інформація, за якою можна визначити людину: від номера її телефону і марки автомобіля до IP-адреси, з якої вони часто входить в Інтернет. Розширюються і можливості громадян ЄС із контролю їхніх персональних даних. "Регламент GDPR дуже докладний. Він вимагає від збирача персональних даних повідомляти користувача про те, яка інформація, ким збирається, як і ким вона обробляється, з якою метою і на яких підставах", - пояснює колишній керівник Управління захисту персональних даних Секретаріату уповноваженого Верховної Ради із прав людини Маркіян Бем.
 
Користувачам тепер зобов'язані надавати інформацію про цілі, методи та обсяги обробки їхніх даних у максимально доступній формі, а ще від них зобов'язані отримати чітку згоду на таку обробку. Тобто поля із самого початку поставленою галочкою поряд із прийняттям користувальницької угоди та інші обхідні шляхи отримання згоди, які масово застосовувалися раніше, вже не пройдуть. Згода на обробку персональних даних не буде дійсною, якщо у користувача не було вибору або можливості без втрат відкликати її. Мета обробки даних повинна бути чітко вказана в договорі або призначеній для користувача угоді, а сам договір повинен бути простим і зрозумілим. Про 30-сторінкові документи, які все одно ніхто не читав, можна буде забути.
 
Сервісам можна буде збирати більше даних, ніж необхідно для цілей обробки, зберігати інформацію довше, ніж це необхідно для заявлених цілей. Компанії зобов'язані забезпечити захист персональних даних від несанкціонованої або незаконної обробки, знищення та пошкодження.
 
Європейці зможуть вимагати підтвердження факту обробки їхніх даних, місце і мету обробки, категорії оброблюваних персональних даних, яким третім особам вони розкриваються, період, протягом якого вони будуть оброблятися, а також уточнювати джерело отримання організацією персональних даних та вимагати їх виправлення. І ще користувач отримав право вимагати припинення обробки своїх даних - так зване право на забуття.
 
Більше того, в GDPR передбачено не просто "право на забуття": європейцям надано можливість негайно на перший же їхній запит вимагати їхні особисті дані з будь-яких інформаційних баз. До того ж користувачі отримали право на перенесення даних. Тобто компанії тепер зобов'язані безкоштовно надавати електронну копію персональних даних користувача іншої компанії на його вимогу.
 
Таким чином, з метою посилення безпеки громадяни ЄС отримують повний контроль над своїми персональними даними та зможуть здійснювати його більш якісно. При цьому будуть і винятки, на які згідно з положеннями регламенту не поширяться: правоохоронна діяльність, боротьба зі злочинністю або тероризмом, цілі національної безпеки.
 
А тепер вишенька на торті: ці вимоги і зобов'язання поширюються і за межі ЄС, якщо якась компанія працює з даними європейців, наприклад. Або якщо європейська компанія працює з особистими даними українців (про це - нижче).
 
Так що України це тією чи іншою мірою теж торкнеться.
 
 
За що покарають
 
Порушення ключових положень регламенту GDPR, прав користувачів, нормативів передачі особистих даних влетить у копієчку. Штраф - 20 млн євро, або 4% річного доходу компанії, залежно від того, яка із цифр виявиться більшою.
 
Дитячі персональні дані знаходяться під особливим захистом, тому згода на їх обробку має бути додатково підтверджена батьками або законними представниками дитини. За порушення процедури отримання згоди на зберігання та обробку персональних даних неповнолітніх, за недотримання технічних норм роботи з персональними даними - штраф 10 млн євро, або 2% річного доходу компанії.
 
GDPR передбачає ліміти на суми штрафів, при цьому повноваження із призначення конкретних сум передані місцевим органам влади держав-членів ЄС.
 
Компанії, які займаються обробкою персональних даних, зобов'язані повідомляти регулюючі органи про будь-які порушення, пов'язані з ними, протягом 72 годин після виявлення проблеми. Тобто при роботі GDPR історія із приховуванням протягом року компанією Uber хакерського злому і крадіжки персональних даних користувачів і водіїв обійшлася би сервісу в круглу суму.
 
Кілька великих компаній вже припиняють роботу з користувачами в ЄС, щоб не нарватися на штрафні санкції і як слід розібратися в новому регламенті. Так, наприклад, користувачі з ЄС поки не можуть користуватися популярним додатком Pinterest і його новинним проектом Instapaper. Кінододаток Stardust видалив свій продукт із європейських локацій платформ Google Play і App Store, а також всі записи своїх європейських користувачів. Пішли цим шляхом і деякі компанії з виробництва відеоігор.
 
Що буде з фотографіями
 
Найактивніше з введенням GDPR обговорюють норму регламенту про заборону публікації зображень третіх осіб без їхньої згоди. В українських соцмережах б'ють на сполох - невже під загрозою опинилися селфі навпроти Ейфелевої вежі або Колізею? Також висловлюються побоювання, що новий закон повністю вбиває такий вид мистецтва, як сюжетна фотографія. Пам'ятки європейських міст складно буде сфотографувати зовсім без людей. Адже саме сюжетна фотографія подарувала Європі зображення, на основі яких вона й увійшла в суспільну свідомість і масову культуру.
 
Насправді не все так страшно. Відповідно до закону, не у всіх випадках фотографування людини і подальше використання такого зображення вимагає якоїсь задокументованої згоди. Потрібно розрізняти мету використання фотографій. Вимоги регламенту не застосовуються до обробки персональних даних фізичною особою в ході чисто особистої або побутової діяльності, жодним чином не пов'язаної із професійною. Тобто викладання власних фото на тлі Пізанської вежі і випадкових перехожих на особистій сторінці в соціальній мережі, а тим більше на закритих сторінках або з доступом для обмеженого кола користувачів, не є порушенням норм GDPR. Навіть якщо це фото було завантажено безпосередньо на території ЄС.
 
Але якщо якийсь випадковий перехожий раптом побачить своє зображення і звернеться із проханням видалити цей файл, то доведеться або замазати обличчя цієї людини, щоб її неможливо було ідентифікувати, або взагалі видалити фото. Але ми ж розуміємо, що ймовірність такого випадку вкрай мала.
 
Що стосується сюжетної фотографії, то закон зобов'язує держави-члени ЄС на законодавчому рівні узгодити захист персональних даних із правом на свободу слова і свободу інформації, цілями художньої та наукової діяльності. Тобто тут уже країни ЄС повинні знайти золоту середину між вимогами регламенту і вільним мистецтвом.
 
 
Причому тут Україна?
 
Завдяки екстериторіальному принципу дії норми GDPR поширяться далеко за межі ЄС. Регламент застосовується до всіх компаній, які обробляють персональні дані резидентів і громадян ЄС, незалежно від їх місцезнаходження.
 
Тобто під нові вимоги підпадають і українські компанії, які працюють на ринку ЄС. Навіть якщо підприємство знаходиться на території України, але працює з даними громадян ЄС, воно все одно підпадає під дію GDPR. Наприклад, українські готелі, кафе, бари, які відвідують європейці, теж повинні рахуватися з новими правилами.
 
Для пересічних українців, на думку експертів, ніяких проблем з GDPR не буде. Навпаки, це посилить захист персональних даних громадян України і дозволить скористатися усіма перевагами регламенту. Або під час їх візитів до ЄС, або в разі надання персональних даних компаніям, які співпрацюють із країнами ЄС, або українськими компаніями, які підпадають під дії GDPR.
 
Українському бізнесу же доведеться попотіти. Однак нові турботи обіцяють і нові можливості.
 
 
Що чекає вітчизняний бізнес
 
Як буде застосовуватися GDPR щодо українських компаній, поки ніхто не знає. Всі чекають перших випадків застосування до них цих норм.
 
Передача персональних даних в Україні європейськими компаніями без відповідного дотримання норм регламенту прямо заборонена GDPR і може призвести до санкцій як для європейської, так і для української сторони. Так що тим, хто не хоче втратити чинні контракти з контрагентами на території ЄС, доведеться адаптуватися до нового закону. Справа ця недешева, будуть потрібні модернізація внутрішньої системи збору, обробки та передачі даних, посилення безпеки їх зберігання і наявність кваліфікованих співробітників. Але це того варте.
 
"Тільки ті українські компанії, які будуть відповідати вимогам GDPR, отримають найбільше можливостей для співпраці з європейськими компаніями", - зазначає старший юрист KPMG Law Олександр Руденко.
 
Разом із тим велика частина українських компаній буде сподіватися на те, що європейські норми їх не торкнуться або штрафи ЄС до України не доберуться. Хоча за вимогами регламенту всім компаніям, які знаходяться не в ЄС, але при цьому працюють із даними з ЄС, необхідно мати свого представника на території Європейського Союзу для спрощення комунікації.
 
"Дуже невелика частина ринку буде діяти так, щоб відповідати повністю. 40% українського бізнесу, який працює з персональними даними європейців, навіть не підозрює про існування регламенту GDPR", - зазначає партнер юридичної фірми Expatpro Платон Даниленко. Однак, за його словами, українським бізнесменам не варто сподіватися, що європейські закони в Україні їх не дістануть. В Україні виконуються рішення іноземних судів, діють угоди про правову допомогу з європейськими державами. Немає тільки виробленого механізму щодо притягнення до відповідальності за порушення норм GDPR. Але Даниленко впевнений, що це виключно питання часу. "У найближчі місяці варто чекати "показову страту" великої компанії, яка не встигла адаптуватися. Це необов'язково буде в Україні. Найімовірніше, це буде якась країна, яка перебуває не в межах ЄС, щоб усі інші побачили, чим це загрожує. І почали приводити в порядок свої внутрішні процеси на кожному підприємстві", - прогнозує експерт.
 
Українським компаніям в будь-якому випадку варто взяти до уваги новий європейський регламент захисту персональних даних. Між Україною та ЄС діє Угода про асоціацію. Вітчизняне законодавство щодо захисту персональних даних застаріло. Приведення його у відповідність із європейськими нормами й імплементації в Україні положень GDPR варто чекати вже найближчим часом, впевнені експерти.
 
Так що, якщо почати розбиратися з новими вимогами ЄС зараз, до моменту впровадження цих норм в Україні, можна опинитися в лідерах. У будь-якому випадку необхідність використання нових технологій у бізнесі спричинить розвиток українських компаній.
ТЕГИ: интернет ЕС бизнес данные соцсети приложения персональные данные