На прошлой неделе все внимание ИТ-мира было приковано к новому Общему регламенту ЕС по защите данных (GDPR), вступившему в силу 25 мая 2018 года. В это же время на имейлы пользователей, причем не только из Европейского Союза, обрушилась масса ссылок на обновленные политики конфиденциальности (зачастую более подробные и понятные) вместе с просьбами о подтверждении согласия на обработку личных данных. И хотя внедрение GDPR начали активно обсуждать лишь весной, большинство компаний готовились к этому событию в течение двух лет.
Европарламент и Европейский Совет приняли Регламент еще в апреле 2016 года — после четырех лет горячих дискуссий; впрочем, в том, что новый документ все-таки нужен, эксперты были единодушны. До недавнего времени в области обработки личных данных пользователей компании опирались на директиву ЕС от 1995 года (Data Protection Directive). Естественно, в принятой более двадцати лет назад норме не могли учитываться те глубокие перемены, которые новейшие технологии привнесли в принципы работы с личной информацией пользователей. Что говорить, если и пользователей как таковых еще не было, и методы сбора данных сильно отличались, и утечки не имели глобальных масштабов и не приводили к таким серьезным последствиям, как сегодня. По сути GDPR стал реакцией европейского правительства на изменения, продиктованные новым временем, хотя его цель осталась прежней — защита приватности пользователей и предотвращение утечек данных.
Что нового?
Эксперты отмечают, что главное новшество — требование к соблюдению Регламента со стороны всех компаний, каким-либо образом совершающих обработку личных данных жителей ЕС, вне зависимости от их географического положения. То есть если среди клиентов компании есть европейцы, она обязана придерживаться GDPR, даже если физически она находится вне ЕС. И поскольку в Интернете отследить гражданство или статус резидента пользователя довольно сложно, любой организации проще следовать Регламенту, чем его игнорировать. Особой мотивацией в этом случае являются космические суммы штрафов, установленные за нарушение новых правил. Теперь они могут достигать 20 млн евро или 4% годового мирового оборота компании — намного выше, чем предусматривала Data Protection Directive.
С другой стороны, GDPR уже успели окрестить самым юзер-френдли законом из всех когда-либо существовавших, ведь он дает пользователю больше контроля над личной информацией. В частности, новый Регламент предусматривает, что пользователь:
- будет проинформирован о том, какую именно информацию о нем собирает компания и в каких целях она это делает;
- может в любой момент потребовать перечень своих личных данных, которыми располагает компания;
- будет знать, сколько времени хранится его личная информация в базе данных компании и какие меры информационной безопасности используются;
- может в любое время изменить свои личные данные или отозвать свое согласие на их обработку.
Конечно, это не весь перечень положительных аспектов, но главный плюс заключается в том, что сама процедура сбора, хранения и обработки данных в целом стала более прозрачной и понятной для пользователя.
Интересно, что в рамках GDPR компании также обязаны сообщать об утечке данных государственному регулятору в течение 72 часов. Это наверняка сделает невозможным повторение таких ситуаций, как, например, с масштабной утечкой учетных записей пользователей французского видеохостинга Dailymotion. Тогда сам инцидент произошел в октябре 2016 года, но был обнародован только спустя два месяца — в декабре.
Заключение
Очевидно, что для полноценной реализации GDPR компаниям пришлось хорошо потрудиться. В некоторых из них появилась даже новая должность — специалист по защите данных. Однако, как показало исследование Varonis.com, около трети коммерческих предприятий считает, что Регламент принесет выгоду всем: как пользователям, так и самим организациям. И одно преимущество мы знаем точно: любой компании хорошо, если довольны ее клиенты. Кстати, компания Colobridge тоже обновила Политику конфиденциальности и гарантирует обработку данных своих пользователей (вне зависимости от гражданства) в соответствии с новым европейским законодательством.