Mozilla: Что нужно знать о новом регламенте защиты данных в Европе?

25 мая 2018 г. в странах Европейского Союза в силу вступил новый Общий регламент защиты данных (GDPR). Причём новые правила действуют по всему миру и касаются каждой компании, которая так или иначе сталкивается с данными жителей ЕС. Звучит страшно, но на деле хуже уж точно не станет! Всё, что нужно знать о новом регламенте, в публикации Mozilla Foundation.

13 вещей об Общем регламенте защиты данных, которые вам стоило бы знать

Почта завалена уведомлениями об изменениях политики конфиденциальности? Выглядит так, будто каждый сайт, на котором вы зарегистрированы, каждое приложение, которое вы когда-либо использовали, и каждая рассылка, на которую вы когда-то были подписаны (включая и те, о которых вы давно забыли), отправили вам подобное уведомления. В чём же причина? Всё просто: в пятницу 25 мая 2018 г. в Европе вступает в силу новый закон – Общие правила защиты данных (General Data Protection Regulation, GDPR). Если вы никогда не слышали этот термин, не знаете, что он означает, и даже не представляете, как это может отразиться лично на вас, этот текст поможет вам разобраться в проблеме.

Дословно, но в тоже время удобоваримо перевести «General Data Protection Regulation» довольно сложно. Google использует понятие «Генеральный регламент о защите персональных данных», Steam — «Общий регламент по защите данных». Тот же перевод исполняет адвокатского бюро Buzko & Partners и редакция VC.ru. В Википедии GDPR тоже переведён, как «Общий регламент по защите данных». Так что, скорее всего, со временем приживётся именно этот термин. В целом речь идёт об «общем регулировании защиты данных», так что мне больше нравится термин «Общие правила защиты данных», – прим.

1. Согласно GDPR, ЕС привлечь компанию к ответственности, если та нарушает закон о сборе, хранении и обработке персональных данных

У IT-бизнесса и прочих организаций было целых два года, чтобы подготовиться к исполнению GDPR. Новый регламент не был секретом. Он был опубликован ещё в мае 2016 г., и у каждого, кто так или иначе собирает данные своих клиентов было достаточно времени, чтобы подготовиться.

2. Несмотря на то, что GDPR был издан в Европе, он влияет на весь мир

Если вы проживаете за пределами Европейского Союза, вам, вероятно, интересно, какое отношение новые европейские правила имеют лично к вам. GDPR имеет экстерриториальное действие, то есть любая организация, которая имеет дело с данными жителей Европы, должна будет соблюдать новый регламент. Это касается и глобальных корпораций вроде Apple и Facebook. Многие организации, скорее всего, будут использовать одинаковый подход к хранению и обработке данных европейцев и неевропейцев. Это необязательно, но, наверное, многим так будет проще.

3. Именно GDPR стал причиной сотен писем с уведомлениями в вашем ящике

Письма с уведомлениями об изменениях политики конфиденциальности сейчас получают абсолютно все. Без паники! Это никак (или почти никак) не связано с утечкой каких-то данных. Сайты подгоняют свои правила под новый европейский регламент, о чём и уведомляют пользователей, то есть вас. Бонус: такие письма могут напомнить вам о сервисах, про которые вы давно забыли. А раз так, от их использования можно и отказаться.

4. Вы уже можете контролировать степень своей конфиденциальности в Firefox, Firefox Focus, Pocket и других продуктах Mozilla

Mozilla всегда стремилась защищать конфиденциальность наших пользователей. С момента основания Mozilla Foundation мы стремились отстаивать базовые принципы приватности. Именно они и стали основой большинства законов, связанных с хранением конфиденциальных данных, в том числе и GDPR в их числе. И мы собираемся применять новые правила ко всем нашим пользователям, вне зависимости от того, в какой точки мира они проживают.

Подробнее о нашей политике конфиденциальности можно узнать здесь. Некоторые пункты могут отличаться в зависимости от продукта, который вы используете: Firefox, Firefox Focus или Pocket.

5. Защита конфиденциальности по умолчанию

Организациям, которые занимаются обработкой персональных данных придётся учитывать необходимость защиты собранных данных на протяжении всего срока существования продукта или услуги. Это означает, что с того момента, как команда начнёт разработку нового сервиса, им придётся думать и о защите конфиденциальных данных. Кроме того, настройки конфиденциальности по умолчанию должны быть максимально закрыты. Если пользователь решит изменить настройки конфиденциальности и рассказать о себе миру, это должен быть лишь его выбор. Но по умолчанию, его аккаунт должен быть максимально закрытым и защищённым.

6. Политика конфиденциальности и правила предоставления услуг должны быть максимально понятны каждому пользователю

Новый регламент требует, чтобы правила сайта и условия пользовательского соглашения были написана на простом языке, понятном абсолютно каждому. Пользователь должен чётко понимать, на что именно он даёт своё согласие. Самое время проверить политику конфиденциальности других сервисов:

7. У вас есть право забрать ваши данные да другой сервис

GPDR вводит понятие «переносимости данных» (в оригинале – «data portability», – прим.). Это означает, что:

  • вы можете посмотреть, какие данные о вас собрала та или иная организация
  • вы можете перенести эти данные в другой сервис (например, передать их прямому конкуренту); при этом вы не теряете записи об изменениях этих данных
  • вы получаете больший контроль за хранением и обработкой ваших данных

Когда это станет реальностью, пока неясно.

8. У вас есть право на забвение

Ваши данные теперь принадлежат именно вам. Поэтому отныне у вас есть право на забвение. Мы можете потребовать полного удаления всех ваших данных, и компания не сможет вам отказать.

9. О нарушениях новых правил будут сообщать гораздо быстрее

Согласно GDPR действует правило 72 часов, то есть контролирующие органы обязаны сообщить обо всех найдены нарушениях в течении трёх дней после их обнаружения. Теоретически, если нарушения напрямую затрагивают ваши «права и свободы», вы узнаете об этом ещё быстрее.

10. За нарушения придётся платить

Штрафы действительно большие. Ещё недавно штрафы за незаконный сбор и обработку данных были достаточно низкими: платить штрафы было гораздо выгоднее, чем заботиться о сохранности пользовательских данных. Теперь же «организация, нарушающая нормы GDPR, может быть оштрафована на сумму до 4% годового оборота или 20 млн. евро (в зависимости от того, какая сумма окажется более внушительной)». Пока несовсем ясно, от чего зависит размер штрафа и какие нарушения считаются достаточно «значимыми». Но уже сейчас ясно, что холдинг Alphobet (в него входит компания Google), имея оборот в 110 млрд. долларов в год, в случае крупных нарушений GDPR будет вынужден выплатить колоссальный штраф в 4.4 млрд. долларов!

11. Что хорошо для пользователей, хорошо и для бизнеса

Хранение данных всегда сопряжено с определёнными рисками (см., например, пункт 9). Эффективные методы защиты данных снижают возможные риски, связанные со сбором и обработкой данных. В перспективе это выгодно как пользователям, так и бизнесу. И это не просто слова: в 2015 г. многочисленные утечки и нарушения обошлись каждой интернет-компании в среднем в 3.79 млн. долларов, не говоря уже о потере доверия и всеобщем общественном порицании.

12. Меньше данных – больше доверия

Звучит странно (и немного пугающе), но некоторые организации понятия не имеют, какие именно данные они собирают и где они их хранят. С появлением GDPR им придётся несколько раз подумать, прежде чем запросить у пользователя какую-то информацию. Кроме того, компаниям теперь придётся сперва объяснить зачем им нужны те или иные данные. Мы надеемся, новые правила научат бизнес бережнее относиться к чужим данным. В рамках GDPR компании выгоднее собирать лишь те данные, которые ей действительно необходимы, а не впитывать всю доступную информацию, как это было раньше.

13. GDPR – это только начало

Нам бы хотелось, чтобы пользователи со временем получили больший контроль над важными настройками конфиденциальности. Настройки конфиденциальности должны стать именно такими, какими бы их хотели видеть пользователи. GDPR – это базовый набор правил, который со временем заложит основу более этичного подхода к сбору и обработке данных. Это шаг в правильном направлении, но дьявол кроется в деталях… Даже если новые средства контроля конфиденциальности будут полностью соответствовать стандартам GDPR, они мало помогут простым пользователям, если в новых настройках будет слишком сложно разобраться и если компании в целом чужды идеи защиты деликатных данных. Тем не менее, новый регламент поощряет ответственный подход к хранению данных и предоставляет пользователю необходимый контроль за собственной конфиденциальностью. И это, безусловно, хорошо! Мы в Mozilla придерживались такого подхода с самого начала.

М. Дж. Келли,
Mozilla Foundation
23 мая 2018 г.


Что почитать?

  • GDPR: Что это такое, кого коснётся и как к этому подготовиться? / VC.ru
  • На электронную почту приходят письма о каком-то GDPR / Meduza
  • Cайты ужесточили политику конфиденциальности, пользователи устали от уведомлений, часть сервисов не работает / TJournal
  • Из-за новых мер приватности в Европе некоторые сайты стали загружаться быстрее / VC.ru
  • Google предупредил рекламодателей о «небольших сложностях» из-за новых правил в Европе / VC.ru

Comment