Интернет кардинально изменил то, как мы общаемся и как справляемся с повседневными задачами. Социальные сети стали основным источником информации, используемой для разных целей: от увеличения продаж путем предоставления целевой рекламы до организации президентских и парламентских выборов. Рассмотрим европейский подход к организации защиты персональных данных.
Субъект, контролер и процессор. В современном мире вопросы защиты персональных данных и их информационной безопасности становятся особенно актуальными. В мае 2018 года в Европейском союзе вступили в силу Общие правила защиты данных (The General Data Protection Regulation, GDPR), обеспечивающие гражданам ЕС права на защиту персональной информации. Документ носит экстерриториальный характер, то есть применяется не только к компаниям стран — участниц союза, но и к любому юридическому лицу, обрабатывающему персональные данные лиц ЕС. GDPR подразумевает более серьезную ответственность за несоблюдение правил хранения и обработки персональных данных, устанавливает глобальные стандарты защиты данных и регулирует их трансграничную передачу.
Закон вводит понятия субъекта, контролера (организация, осуществляющая сбор персональных данных) и процессора (организация, которой данные были переданы контролером для обработки) персональных данных. Устанавливается исчерпывающий список законных оснований для сбора и обработки персональных данных. Сбор данных для любых целей, не входящих в этот список, не допускается. Данные могут использоваться только с той целью, которая была объявлена субъекту персональных данных, и после исчерпания цели должны быть уничтожены. Устанавливается список технических и организационных мер по защите данных, включая обязательное назначение Data Protection Officer, ответственного за защиту данных в организации.
Штраф и право. Компании несут ответственность за сохранность данных. Если данные украдены или непреднамеренно переданы неавторизованным организациям, компания должна сообщить об этом национальному регулятору в течение 72 часов. За невыполнение закона накладывается штраф до 20 млн евро или до 4% от годового оборота компании за предыдущий финансовый год в зависимости от того, что больше.
Новые нормы устанавливают права граждан ЕС в отношении их данных, в частности, право знать, как их личные данные собираются, используются и хранятся. Жители ЕС могут потребовать копию своих персональных данных от компаний, и те должны предоставить ее в течение месяца в машинописном формате. Любые неправильные сведения должны быть исправлены или удалены по просьбе их владельца. Важными новациями закона являются запрет на принятие решений на основе данных в полностью автоматическом режиме (например, при найме на работу, банковском обслуживании и т.д.) и право граждан обжаловать решения, принимаемые на основе анализа данных.
Зеленый свет. Одним из центров контроля за выполнением положений правил стала Ирландия, поскольку большинство крупных технологических компаний США (включая Facebook, Google, Microsoft, Twitter, Apple, LinkedIn, Airbnb и Dropbox) зарегистрировано в этой стране. Ответственность за соблюдение компаниями Общих правил защиты данных возложена на Комиссию по защите данных Ирландии (DPC).
Комиссия уже заявила о начале 19 статутных расследований, 11 из которых связаны с деятельностью Facebook, WhatsApp и Instagram. Ожидают своей очереди Twitter и LinkedIn. А в конце мая начато расследование в отношении Google по вопросам использования личных данных для целей рекламы. Корпорация уже получила штраф в размере 50 млн евро от французского регулятора данных CNIL за отсутствие прозрачности, неадекватную информацию и отсутствие действительного согласия в отношении персонализации рекламы.
Влияние от вступления в силу GDPR проявится в будущем году, когда будет отлажена правоприменительная практика. К 2020 году можно ожидать увеличения числа расследований и потенциальных штрафов. В любом случае адаптация к стандартам GDPR — это большая и долгая работа для всех компаний, действующих в ЕС. В России влияние изменений больше всего почувствуют на себе финансовый сектор, СМИ, телеком и электронная коммерция.