GDPR

За что Евросоюз будет наказывать операторов личных данных

Евросоюз вводит с 25 мая новые правила обращения с личными данными — регламент GDPR
Автор: Василий Малашенков, Office Life
1

За что Евросоюз будет наказывать операторов личных данных

Странные дни наступили. Ты получаешь море уведомлений на e-mail и через другие каналы. И от известных сервисов, типа Google, и от шведского оператора по продаже театральных билетов (когда-то в Стокгольме сходил на один спектакль), и даже производитель твоего смартфона тоже отправил такое сообщение. Все они меняют политику обработки личных данных пользователей. И не просто по души прекрасному порыву, а потому что 25 мая вступает в силу новый документ Евросоюза под названием GDPR. Некоторые консалтинговые фирмы уже запустили рекламу в стиле «Готова ли ваша компания к GDPR? Мы вам поможем».

Что же это такое, и как оно касается Беларуси? Давайте разберемся.

Кому это грозит

Итак. GDPR расшифровывается как The General Data Protection Regulation, то есть Основные правила защиты данных. Европейская бюрократия и ранее имела определенные правила регулирования в этой сфере. Они действовали с 1995 года, но не были такими строгими, как сейчас. Да и не были они раньше такими актуальными, по сравнению с нынешней ситуацией. Посмотрите вокруг. В нашей жизни хватает платформ, которые накопили большие массивы личных данных. Онлайн-сервис по аренде жилья, интернет-магазин, соцсеть... Это далеко не полный список тех, кто оперирует такой информацией.

И если раньше многие легкомысленно относились к этому, то после скандалов с утечками данных, особенно из банков, люди стали задумываться. Вспомним хотя бы недавний казус компании Equifax. Всё это связано с денежными и другими чувствительными вопросами. В этой логике получается, что европейские власти просто реагируют на вызовы времени и пытаются обеспечить защиту прав своих граждан.

Хотя можно усмотреть и другой аспект. Между всеми государствами и крупными хайтек-компаниями, которые собирают массивы данных, уже наметилось серьезное противостояние. Если сейчас власти не подавят этих гигантов, не начнут над ними доминировать, то в будущем государства могут просто потерять рычаги управления. Все уже поняли, что данные — новая нефть.

Но перейдем к сути новых правил. Почему стоит побеспокоиться? Да хотя бы потому, что за нарушение этого документа «евросоюзовские» могут оштрафовать компанию на $20 млн евро или на 4% от ее глобального годового оборота.

GDPR
Фото: Flickr / Convert GDPR

Ведущий консультант польской консалтинговой компании Polontech Алекс Енин на недавней лекции в Минске объяснил, по каким признакам фирма может стать объектом регулирования GDPR. Первое условие — у вас есть юрлицо в ЕС. Второе — вы работаете с гражданами ЕС. Имеются в виду и партнеры, и сотрудники, и клиенты. Рассказав это, Алекс Енин сделал интересную поправку:

Но вообще сейчас речь идет даже не о гражданах, а о людях с территории ЕС. Даже если человек в длительной командировке там.

Запоминаем эту деталь и двигаемся дальше.

Третье условие. Вы не просто работаете с «людьми с территории ЕС», а каким-либо образом храните их личные данные или участвуете в их обработке. Причем личные данные — не просто ФИО и номер паспорта, но даже IP-адрес, Mac-адрес, «кукисы» браузера на личном компьютере...

Под особым контролем данные, говорящие о религиозных и политических предпочтениях личности, а также о сексуальной ориентации.

Если хоть что-то из этих данных фигурирует на серверах компании или в облаках, которые она использует, нужно срочно подгонять свою политику обращения с информацией под стандарты GDPR. Необходимо, чтобы всем физлицам было предоставлено право на забвение (удаление профайла, например), право на перенос данных в другой сервис, право на возражение (например, отказ от маркетинговых рассылок).

Это нужно хотя бы пообещать, но лучше всего заранее обеспечить технически.

Репутация и тролли

Алекс Енин считает, что более всего GDPR страшен не из-за штрафных санкций. Для многих европейских компаний это не такие большие деньги. Тем более, процедура доказывания факта нарушения не такая уж простая. Здесь риски, скорее, репутационные. Даже если уполномоченный орган еще не доказал ваш «залёт», его могут распиарить СМИ или сарафанное радио.



Европейские рынки — это прежде всего рынки доверия. Репутация там дорогого стоит, ее сложно восстановить.



Вот и опросы показывают, что аудитория доброжелательно относится к компаниям, которые привели всё в соответствие с GDPR. Люди готовы нести свои деньги таким фирмам, покупать у них услуги и товары.

Не зря крупные игроки из списка Forbes в совокупности потратили $7 млрд для адаптации к новым правилам. Они защищаются не только от неусыпного ока органов ЕС, но и от «юридических троллей». Алекс Енин предсказывает, что совсем скоро некоторые конторы начнут выискивать соринки в чужом глазу и грозить исками за нарушение GDPR: либо пойдете в суд, либо оплатите наш инвойс за соответствующие юридические услуги. Нечто подобное могут делать и конкуренты. Не обязательно от своего лица.

Так что советуем всем, кто занимается международными проектами, прописать политику безопасности: для чего и какие вы данные собираете, какие средства защиты используете. Неплохо сделать автоматическое удаление или деперсонализацию личных данных, которые вам больше не нужны.

В адеквате

Отдельный разговор, если вы работаете с детской аудиторией. По-любому здесь нужно техническое решение, когда никакое действие не может быть произведено без акцепта со стороны родителей. К примеру, пусть ребенок при регистрации укажет e-mail «предка», а ваша платформа будет автоматически посылать туда запросы: подтвердите то, подтвердите это. Хотя, конечно, кто даст стопроцентную гарантию, что этот адрес именно родителя? С другой стороны, вы сделали всё, что могли.

Есть и еще один «замечательный» аспект в GDPR. Очень важно, в какие страны может утекать личная информация с европейских серверов. ЕС поделил мир в этом аспекте на исчерпывающий список «адекватных» и «неадекватных» государств и юрисдикции. В число первых попали на данный момент немногие: Андорра, Аргентина, Канада, Фарерские острова, остров Гернси, Израиль, остров Мэн, остров Джерси, Новая Зеландия, Уругвай и США. Хотя одна девушка на семинаре по GDPR эмоционально кричала: «Люди, вы что?! Америка — это неадекватная страна?!» Может быть, с житейской точки зрения это и так. Но европейские власти считают иначе. Кстати, они сейчас ведут переговоры о признании «адекватными» Японии и Южной Кореи.

Беларусь, как вы поняли, пока «неадекватная». Чтобы передавать к нам информацию из баз личных данных, подпадающих под юрисдикцию ЕС, лучше запросить разрешение у компетентных европейских органов.

А теперь отмотаем пленку назад и вспомним, что есть пунктик о чувствительных данных: религиозные или политические предпочтения индивида. Если это хоть как-то фигурирует в вашей информационной среде, надо обязательно иметь представителя в ЕС по защите данных. И это не зависит от размера компании.

А что у нас?

В Беларуси, как известно, пока нет четкого определения, что же такое личные данные. Готовятся изменения в законодательство, которые касаются этой темы. Известно, что на данный момент власти готовы лишь частично гармонизировать нормативно-правовую базу с GDPR. Полностью копировать ее никто не собирается.

Один из примеров использования массивов личных данных в Беларуси — это Межбанковская система идентификации (МСИ). Сейчас там 7 млн условных аккаунтов физлиц и юрлиц. Если среди них и можно найти граждан ЕС, то в систему занесены не номера их европейских паспортов, а идентификационные номера из белорусских видов на жительство. МСИ использует защищенное подключение, есть соответствующий сертификат безопасности и т. д.

Кто может пересекаться с МСИ? Непосредственно, конечно, банки. Косвенно, очень косвенно — торговля. К примеру, один крупный интернет-магазин бытовой техники недавно ввел интересную опцию. Конкретный банк согласился финансировать продажу товаров в рассрочку на выгодных условиях. Клиенту не нужно посылать никаких паспортных данных, если у него есть карточка любого белорусского банка. Он просто должен авторизоваться в МСИ, и банк-партнер получает его данные у банка-эмитента карты. В ЕС такое вряд ли возможно не только из-за GDPR. Там уже давно банки трепетно относятся к клиентским базам и не особо спешат делиться.

Так что сейчас есть два тактических варианта: либо максимально перестроить свои информационные процессы под GDPR, либо пока не вести бизнес в ЕС и с жителями ЕС. Просто можно подождать и посмотреть, как новые правила будут претворяться в жизнь. В данном случае на чужих ошибках учиться проще.

Источник: The Guardian
2

Последствия GDPR: LA Times закрыла доступ на сайт для пользователей из Европы

Новый регламент Евросоюза GDPR относительно использования личных данных заработал 25 мая. Одним из последствий этого стала самоблокировка некоторых американских сайтов. Например, это известные масс-медиа Los Angeles Times и Chicago Tribune.

Правда, редакция Los Angeles Times обещает, что это ненадолго. Ведется соответствующая работа, после которой все  восстановят.

Напомним, что GDPR предписывает всем компаниям, которые каким-то образом работают с личными данными людей, находящихся в ЕС, привести свои сервисы в соответствие с определенными требованиями.

Источник: Office Life
3

Компании из бывшего СССР массово обращаются к юристам из-за GDPR

Из-за вступления в силу нового регламента обработки персональных данных в ЕС (GDPR) ряд компаний на постсоветском пространстве был вынужден перестроить свою политику обращения с personal data.

Например, в украинской юридической фирме Lawboot, которая работает и на белорусском рынке, нам сообщили, что в целом из постсоветских стран по теме GDPR к ним уже обратились сотни компаний. Основной наплыв был в последние два месяца. Хотя некоторые клиенты обращались и в феврале 2018 года. Но эти запросы были единичными.

Первый запрос поступил еще в начале осени 2017-го от крупного проекта в сфере e-commerce с корнями из России. Сейчас эта компания работает на глобальный рынок.

Цена на консалтинговые услуги Lawboot, конечно, зависит от конкретной ситуации. Если изучить информацию с сайта юридической фирмы, то получается, что такие консультации могут стоить $57 в час. А сам процесс адаптации к GDPR может занять не один месяц.

Источник: Office Life
4

Юрфирма COBALT: наши балтийские офисы катастрофически загружены из-за GDPR

Ситуацию с обращениями по GDPR нам прокомментировали и в юридической компании COBALT.

Там отметили, что белорусский офис фирмы работает сейчас над тремя проектами по этой тематике.

Основной наплыв заказов уже прошел, хотя не можем сказать, что он был массовым. Все клиенты — из ИТ-сферы и сталкиваются с трансграничными вопросами сбора, хранения и обработки персональных данных, когда эти процессы происходят, согласно новым требованиям, на территории ЕС.

По таким проектам фирма работает всей международной командой юристов из практики GDPR. Применяются экспертиза и ноу-хау офисов в странах Балтии.

Наши прибалтийские офисы катастрофически загружены работой по GDPR и вынуждены были существенно увеличить штат. Они проконсультировали сотни компаний начиная с прошлого года.

Стоимость услуг варьируется от объема и масштабов компании-заказчика. Она может составлять от нескольких тысяч (когда требуется лишь корректировка уже существующих внутренних документов компании) до нескольких десятков тысяч евро. Второй вариант предполагает ситуацию, когда на первой стадии происходит GDPR-аудит компании, а затем корректируются/разрабатываются документы и внутренняя политика, уведомляются пользователи.

Поделиться:
Курс бел. рубля 18.06.2019
Нал. (банки Минска)
покупкапродажа
$12.08702.0910
12.34002.3430
p1003.23303.2400
Б/нал. (НБРБ)
$12.0620
12.3119
p1003.2085