Вы, может быть, заметили в почтовом ящике пару-тройку писем, отправитель которых спрашивают разрешение на использование персональных данных? Нет, у компаний не «проснулась совесть» — всему виной новый Регламент ЕС.
В апреле 2016 года Европарламент принял Регламент ЕС по защите персональных данных (General Data Protection Regulation, GDPR), который должен прийти на смену устаревшей Директиве о защите данных (Data Protection Directive) от 1995 года. Сегодня, 25 мая 2018 года, законодательство вступило в силу — почти через два года после его подписания. Хотя компании, оперирующие личными данными жителей ЕС, имели достаточно времени, чтобы учесть требования Регламента, принципы работы многих всё ещё остаются в рассогласовании с новым законодательством.
GDPR состоит из 99 статей и защищает права людей на владение и распоряжение своими персональными данными, накладывая на компании ряд обязанностей. В частности, под запрет попали старые способы получать «легальное» согласие на обработку персональных данных — с помощью предложения прочесть и согласиться с очень длинным текстом, из которого трудно извлечь информацию. Теперь нужно предоставлять лаконичный текст, из которого понятно, что к чему. Кроме этого, теперь компаниям придётся придерживаться политики opt-in, а не opt-out (то есть, пользователь будет должен давать согласие на обработку данных, а не отказываться от таковой). Согласие, в рамках регуляции, не даётся простым щелчком по чекбоксу — оно должно быть осмысленным и включать несколько шагов. Пользователь теперь имеет право на то, чтобы запросить предоставить всю используемую информацию о себе, а также попросить удалить все касающиеся его данные.
Помимо упомянутых, в 99-ти статьях описано множество других требований к корпорациям, имеющим дело с персональными данными.
Есть одна тонкость — для многих компаний, например предоставляющих сервисы социальных медиа, личная информация необходима, чтобы функционировать. Например, Facebook нужно ваше имя, возраст и фотография. Регуляция оговаривает такие случаи — когда информация является неотъемлемой частью работы сервиса, согласие на её обработку не требуется. Оно требуется только на использование другой информации — например, для работы алгоритма подбора персонализированный рекламы.
Регуляция распространяется только на компании, которые работают в странах ЕС и с гражданами ЕС. Может показаться, что Регламент принесёт пользу (или вред) только гражданам соответствующих стран, однако всё не так просто: граждане ЕС могут пребывать на территории других стран, и «европейскую» принадлежность пользователя будет сложно идентифицировать. Поэтому для больших корпораций типа Google и Facebook будет удобнее использовать Регламент применительно ко всем странам мира.
Мотивировать подчиняться требованиям Регламента призван штраф за нарушения в размере либо 20 миллионов евро, либо 4% от глобального годового денежного оборота компании, в зависимости от того, что больше.
Сегодня, в первый день после вступления GDPR в силу, европейские активисты NOYB (None of Your Business, «не твоё дело») подали в суд на четыре сервиса: Facebook, WhatsApp, Instagram и Google. По их словам, согласие, которое дают пользователи этих сервисов, не соответствует требованиям Регламента.
