С конца мая в ЕС действует новый регламент о защите персональных данных (GDPR). И пусть этот закон принимали в ЕС, действие его заденет сотни украинских компаний и пользователей, то есть тех, кто так или иначе соприкасается с сервисами из Европы: как покупатель или производитель.

Согласно документы любая организация обязуется предупреждать о том, что планирует сохранить и обрабатывать их персональные данные и дать им выбор, делиться ли этими данными. Без такого прямого разрешения использование персональных данных может привести к серьёзным негативным последствиям, таким как крупные денежные штрафы — от 10 до 20 миллионов евро за отсутствие отдельного сотрудника, который отвечает за сохранность таких данных или нарушение прописанной законом обработки личных данных.

Учитывая, что в цифровую эпоху граждане ЕС пользуются услугами компаний и организаций со всего мира, можно считать, что данный регламент потенциально касается любой компании с присутствием в сети Интернет, любого сайта и любой социальной сети. Более того, он может коснуться и частных публикаций в сети, например, фотографий, на которые попали жители ЕС. Чтобы разобраться, насколько GDPR повлияет на деятельность организаций, электронную коммерцию и жизнь обычных пользователей, стоит остановиться на некоторых его особенностях подробней.

Для компаний и организаций принятие GDPR в первую очередь означает расходы. Фактически, каждая организация, которая ведёт деятельность (или потенциально может её вести) с гражданами ЕС, должна оптимизировать процессы сбора, обработки и хранения персональных данных и назначить ответственных за эти процессы сотрудников. Это включает в себя и защиту данных, так как в регламенте чётко указано, что компании обязаны избегать любого рода утечек и в кратчайшие сроки сообщать о взломе или хищении пользовательских баз. Значит, вырастут и расходы на кибербезопасность. Помимо этого, требования регламента подразумевают, что любой гражданин ЕС имеет право не только решать, предоставлять ли свои данные, но и в любой момент может воспользоваться «правом на забвение», то есть потребовать удалить информацию о себе из всех баз данных организации. В первую очередь к таким запросам должны быть готовы поисковые гиганты вроде Google и социальные сети, хотя для Google в нём нет ничего нового. Ещё с 2014 года корпорация удаляет поисковые запросы и информацию о пользователях, подавших соответствующее заявление в рамках предыдущей директивы ЕС о защите информации.

Для сектора электронной коммерции новый регламент может стать сдерживающим фактором. Интернет-магазинам и сайтам персональные данные клиентов и посетителей необходимы для анализа, контент-маркетинга и эффективной генерации лидов. Учитывая, что однозначно разделить пользователей на жителей ЕС и всех остальных достаточно сложно, большинству из них придётся подстраиваться под требования GDPR, в первую очередь, чтобы избежать огромных штрафов. Вполне естественно, что многие пользователи, которые раньше даже не задумывались о том, сколько и какой информации они оставляли на интернет-ресурсах, теперь будут просто отказываться её предоставить, если не планируют прямо сейчас совершить покупку. Соответственно, со временем данные в пользовательской базе будет устаревать и удаляться, так как хранить их можно достаточно ограниченное время. А это снижает эффективность таргетированной рекламы и повышает стоимость контактов и рекламных кампаний. Помимо этого, для небольших сайтов, которые раньше могли использовать скопированные из Сети фотоматериалы без прямого разрешения изображённых на них лиц, возникает либо риск получить штраф, либо дополнительные расходы на покупку таких материалов на коммерческих сайтах со стоковыми фото.

Что касается фотосъёмки частных лиц, можно считать, что здесь особых причин для беспокойства нет. Регламент не требует просить письменное разрешение на съёмку у всех попавших в кадр жителей ЕС, если пользователь просто фотографировал городской пейзаж в отпуске в Париже. Теоретически, этот кадр может попасться на глаза кому-то из невольных участников съёмки, и он может потребовать удалить его со страницы в социальной сети или «замазать» лицо, но не более того. Если съёмка ведётся не в коммерческих целях, не используется для идентификации субъектов в специализированном ПО и не запечатлела их в компрометирующей или провокационной ситуации, фотографу фактически нечего опасаться. Естественно, в случае отказа удалить или отредактировать кадр, житель ЕС может обратиться к администрации ресурса и тогда уже они решат, удалять ли его и принимать ли административные меры, поэтому относиться к таким запросам пользователям стоит серьёзно. Определённые вопросы могут возникнуть при съёмке общественных мероприятий или спортивных соревнований, но в данном случае срабатывает положение об «ожидаемой» фото- и видеосъёмке. То есть, посещая публичные мероприятия, жители ЕС заранее догадываются, что там их могут снимать и какого-то отдельного разрешения на это не требуется.

«Новые правила ЕС не лишены определённых недостатков и ограничений, – комментирует Роман Чёрненький, региональный менеджер компании Trend Micro. – Многие положения включают слишком размытые понятия или подразумевают трактовку, которая потенциально даёт правительствам и компаниям слишком большую свободу. К примеру, они могут получать и обрабатывать персональные данные без согласия граждан, если их «законные интересы» оказываются важнее прав и свобод этих граждан. Допустимые законные интересы при этом определены достаточно нечётко, что даёт огромное пространство для поиска лазеек. Несмотря на это, в цифровую эпоху законы о персональных данных крайне важны для защиты прав человека, но во многих странах они отсутствуют или практически отсутствуют. Недавние скандалы с участием Facebook и Cambridge Analytic и повышенное внимание общества к хищению личных данных, целевой рекламе и неконтролируемому профилированию пользователей доказали, что правительствам необходимо усилить контроль над тем, как эти данные получаются, хранятся и в дальнейшем используются».

Дмитрий Табаков
Руководитель проектов hi-tech.ua

       

Читайте також