В Европе теперь просто так не сфотографируешься?
В Европейском союзе начал действовать новый регламент защиты и обработки персональных данных — GDPR. Его положения затронут весь мир. Корреспондент разбирался в том, что придумали европейцы и как это зацепит Украину.
В современном мире информация о человеке — самый дорогой товар. Защита личных данных — насущная необходимость, особо актуальная в последнее время, пишет Валерий Литонинский в №11 Журнала Корреспондент. Как мы уже видели, с помощью незаконного сбора персональной информации могут выигрываться выборы в наиболее развитой стране мира, продвигаются новые товары и продаются новые идеи. В Европейском союзе на эти вызовы ответили новым законом об обработке персональных данных, который не только будет действовать в Европе, но и коснется людей далеко за ее пределами.
Что вводят
Многие из нас в последнее время получали разнообразные электронные письма и сообщения от разных интернет-сервисов и приложений по поводу работы с нашими персональными данными. Нашествие сообщений связано с изменением в политике конфиденциальности и введением новых инструментов управления сбором данных. А подтолкнул компании к таким новациям регламент GDPR.
GDPR — General Data Protection Regulation — это правовой акт Европейского союза, который вступил в силу в конце мая и призван усилить контроль над процессом сбора, обработки и передачи персональных данных резидентов и граждан ЕС как на территории Евросоюза, так и за его границами.
Вот простой пример: в Украине часто можно столкнуться с ситуацией, когда, воспользовавшись услугами какого-то такси, затем получаешь массу рекламных сообщений от других служб. То есть клиентские данные передаются третьим лицам, формируются какие-то базы SMS-рассылок и тому подобное. В Европе после введения GDPR такая ситуация будет невозможна или чревата серьезными штрафами для ее инициаторов.
Новым законом значительно расширяется понятие «персональные данные». Под него подпадает любая информация, по которой можно определить человека: от номера его телефона и марки автомобиля до IP-адреса, с которого они часто входит в интернет. Расширяются и возможности граждан ЕС по контролю их персональных данных. «Регламент GDPR очень подробный. Он требует от сборщика персональных данных сообщать пользователю о том, какая информация, кем собирается, как и кем она обрабатывается, с какой целью и на каких основаниях», — поясняет бывший руководитель Управления защиты персональных данных Секретариата уполномоченного Верховной Рады по правам человека Маркиян Бем.
Пользователям теперь обязаны предоставлять информацию о целях, методах и объемах обработки их данных в максимально доступной форме, а еще от них обязаны получить четкое согласие на такую обработку. То есть поля с изначально поставленной галочкой рядом с принятием пользовательского соглашения и другие обходные пути получения согласия, которые массово применялись ранее, уже не пройдут. Согласие на обработку персональных данных не будет действительно, если у пользователя не было выбора или возможности без потерь отозвать его. Цель обработки данных должна быть четко указана в договоре или пользовательском соглашении, а сам договор должен быть простым и понятным. Про 30-страничные документы, которые все равно никто не читал, можно будет забыть.
Сервисам нельзя будет собирать больше данных, чем необходимо для целей обработки, хранить информацию дольше, чем это необходимо для заявленных целей. Компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.
Европейцы смогут запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам они раскрываются, период, в течение которого они будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления. И еще пользователь получил право требовать прекращения обработки своих данных — так называемое право на забвение.
Более того, в GDPR предусмотрено не просто «право на забвение»: европейцам предоставлена возможность немедленно по первому же их запросу требовать их личные данные из любых информационных баз. К тому же пользователи получили право на перенесение данных. То есть компании теперь обязаны бесплатно предоставлять электронную копию персональных данных пользователя другой компании по его требованию.
Таким образом, в целях усиления безопасности граждане ЕС получают полный контроль над своими персональными данными и смогут осуществлять его более качественно. При этом будут и исключения, на которые положения регламента не распространятся: правоохранительная деятельность, борьба с преступностью или терроризмом, цели национальной безопасности.
А теперь вишенка на торте: эти требования и обязательства распространяются и за пределы ЕС, если какая-то компания работает с данными европейцев, например. Либо если европейская компания работает с личными данными украинцев (об этом — ниже).
Так что Украины это в той или иной мере тоже коснется.
За что накажут
Нарушение ключевых положений регламента GDPR, прав пользователей, нормативов передачи личных данных влетит в копеечку. Штраф — 20 млн евро, или 4% годового дохода компании, в зависимости от того, какая из цифр окажется больше.
Детские персональные данные находятся под особой защитой, поэтому согласие на их обработку должно быть дополнительно подтверждено родителями или законными представителями ребенка. За нарушения процедуры получения согласия на хранение и обработку персональных данных несовершеннолетних, за несоблюдение технических норм работы с персональными данными — штраф 10 млн евро, или 2% годового дохода компании.
GDPR предусматривает лимиты на суммы штрафов, при этом полномочия по назначению конкретных сумм переданы местным органам власти государств — членов ЕС.
Компании, которые занимаются обработкой персональных данных, обязаны уведомлять регулирующие органы о любых нарушениях, связанных с ними, в течение 72 часов после обнаружения проблемы. То есть при работе GDPR история с сокрытием в течение года компанией Uber хакерского взлома и кражи персональных данных пользователей и водителей обошлась бы сервису в круглую сумму.
Несколько крупных компаний уже приостанавливают работу с пользователями в ЕС, чтобы не нарваться на штрафные санкции и как следует разобраться в новом регламенте. Так, например, пользователи из ЕС пока не могут пользоваться популярным приложением Pinterest и его новостным проектом Instapaper. Киноприложение Stardust удалило свой продукт из европейских локаций платформ Google Play и App Store, а также все записи своих европейских пользователей. Пошли по этому пути и некоторые компании по производству видеоигр.
Что будет с фотографиями
Активнее всего с введением GDPR обсуждают норму регламента о запрете публикации изображений третьих лиц без их согласия. В украинских соцсетях бьют в набат — неужели под угрозой оказались селфи напротив Эйфелевой башни или Колизея? Также высказываются опасения, что новый закон полностью убивает такой вид искусства, как сюжетная фотография. Достопримечательности европейских городов сложно будет сфотографировать совсем без людей. А ведь именно сюжетная фотография подарила Европе изображения, на основе которых она и вошла в общественное сознание и массовую культуру.
На самом деле не все так страшно. Согласно закону, не во всех случаях фотографирование человека и последующее использование такого изображения требует какого-то задокументированного согласия. Нужно различать цель использования фотографий. Требования регламента не применяются к обработке персональных данных физическим лицом в ходе чисто личной или бытовой деятельности, никоим образом не связанной с профессиональной. То есть выкладывание собственных фото на фоне Пизанской башни и случайных прохожих на личной странице в социальной сети, а тем более на закрытых страницах или с доступом для ограниченного круга пользователей, не является нарушением норм GDPR. Даже если это фото было загружено непосредственно на территории ЕС.
Но если какой-то случайный прохожий вдруг увидит свое изображение и обратится с просьбой удалить этот файл, то придется или замазать лицо этого человека, чтобы его невозможно было идентифицировать, или вообще удалить фото. Но мы же понимаем, что вероятность такого случая крайне мала.
Что касается сюжетной фотографии, то закон обязывает государства — члены ЕС на законодательном уровне согласовать защиту персональных данных с правом на свободу слова и свободу информации, целями художественной и научной деятельности. То есть здесь уже страны ЕС должны найти золотую середину между требованиями регламента и свободным искусством.
Причем здесь Украина?
Благодаря экстерриториальному принципу действия нормы GDPR распространятся далеко за пределы ЕС. Регламент применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, вне зависимости от их местонахождения.
То есть под новые требования подпадают и украинские компании, которые работают на рынке ЕС. Даже если предприятие находится на территории Украины, но работает с данными граждан ЕС, оно все равно подпадает под действие GDPR. Например, украинские гостиницы, кафе, бары, которые посещают европейцы, тоже должны считаться с новыми правилами.
Для рядовых украинцев, по мнению экспертов, никаких проблем с GDPR не будет. Наоборот, это усилит защиту персональных данных граждан Украины и позволит воспользоваться всеми преимуществами регламента. Либо во время их визитов в ЕС, либо в случае предоставления персональных данных компаниям, сотрудничающим со странами ЕС, или украинским компаниям, подпадающим под действия GDPR.
Украинскому бизнесу же придется попотеть. Однако новые заботы сулят и новые возможности.
Что ждет отечественный бизнес
Как будет применяться GDPR в отношении украинских компаний, пока никто не знает. Все ждут первых случаев применения к ним этих норм.
Передача персональных данных в Украину европейскими компаниями без соответствующего соблюдения норм регламента прямо запрещена GDPR и может привести к санкциям как для европейской, так и для украинской стороны. Так что тем, кто не хочет потерять действующие контракты с контрагентами на территории ЕС, придется адаптироваться к новому закону. Дело это недешевое, потребуются модернизация внутренней системы сбора, обработки и передачи данных, усиление безопасности их хранения и наличие квалифицированных сотрудников. Но игра стоит свеч.
«Только те украинские компании, которые будут соответствовать требованиям GDPR, получат больше всего возможностей для сотрудничества с европейскими компаниями», — отмечает старший юрист KPMG Law Александр Руденко.
Вместе с тем большая часть украинских компаний будет надеяться на то, что европейские нормы их не коснутся или штрафы ЕС до Украины не доберутся. Хотя по требованиям регламента всем компаниям, которые находятся не в ЕС, но при этом работают с данными из ЕС, необходимо иметь своего представителя на территории Европейского союза для упрощения коммуникации.
«Очень небольшая часть рынка будет действовать так, чтобы соответствовать полностью. 40% украинского бизнеса, который работает с персональными данными европейцев, даже не подозревает о существовании регламента GDPR», — отмечает партнер юридической фирмы Expatpro Платон Даниленко. Однако, по его словам, украинским бизнесменам не стоит надеяться, что европейские законы в Украине их не достанут. В Украине исполняются решения иностранных судов, действуют соглашения о правовой помощи с европейскими государствами. Нет только выработанного механизма по привлечению к ответственности за нарушения норм GDPR. Но Даниленко уверен, что это исключительно вопрос времени. «В ближайшие месяцы стоит ждать «показательную казнь» крупной компании, которая не успела адаптироваться. Это необязательно будет в Украине. Скорее всего, это будет какая-то страна, находящаяся не в пределах ЕС, чтобы все остальные увидели, чем это чревато. И начали приводить в порядок свои внутренние процессы на каждом предприятии», — прогнозирует эксперт.
Украинским компаниям в любом случае стоит принять во внимание новый европейский регламент защиты персональных данных. Между Украиной и ЕС действует Соглашение об ассоциации. Отечественное законодательство по защите персональных данных устарело. Приведение его в соответствие с европейскими нормами и имплементации в Украине положений GDPR стоит ждать уже в ближайшее время, уверены эксперты.
Так что, если начать разбираться с новыми требованиями ЕС сейчас, к моменту внедрения этих норм в Украине, можно оказаться в лидерах. В любом случае необходимость использования новых технологий в бизнесе повлечет за собой развитие украинских компаний.