Загальний регламент про захист персональних даних (GDPR), який набув чинності 25 травня, змінює правила гри у сфері використання даних про особу, причому не лише у ЄС, для якого ухвалені ці зміни, а й в усьому світі, стверджують експерти. Серед головних новацій – посилення заходів захисту персональних даних та право особи відкликати дані про себе незалежно від того, хто і коли їх використовує. Бізнес за замовчуванням має дбати про приватність інформації про особу і використовувати дані про неї лише тоді, коли вона дала однозначну згоду.
Найбільші соцмережі та великі компанії вже змінили принципи своєї роботи та навіть програмне забезпечення, утім, частина онлайн-сервісів та медіа просто закрила доступ для громадян ЄС, «щоб не порушувати правил». Як вплине новий європейський регламент на український бізнес та на простих українців?
«Ми оновлюємо політику конфіденційності, щоб вам було простіше зрозуміти, яку інформацію про вас ми збираємо та навіщо це робимо… Ми вносимо ці оновлення, щоб узгодити нашу політику із Загальним регламентом захисту даних, який набуває чинності в Європейському союзі»,– такі листи-пояснення та пропозиції змінити налаштування конфіденційності в останні дні надходять користувачам онлайн-сервісів, соцмереж та клієнтам великих компаній з різних країн, і Україна не стала винятком.
Чому це відбувається
25 травня у ЄС та в Європейській економічній зоні набув чинності Загальний регламент захисту даних, який змінює чинну донедавна Директиву про захист даних у ЄС. Документ запроваджує більш суворі правила поводження з інформацією про особу, через що бізнесовим та онлайн-сервісам доводиться повністю переформатовувати свою роботу. Однак новий регламент був написаний ще два роки тому, і про день набуття ним чинності було відомо заздалегідь.
У світі дедалі швидше зростає масштаб використання даних про особу онлайн та передача їх від однієї компанії до іншої. У цих умовах ЄС вирішив надати своїм громадянам та резидентам змогу контролювати поширення своїх персональних даних, а для бізнесу – створити єдине регуляторне середовище у цій сфері, мовиться у самому регламенті.
Зокрема, персональні дані мають зберігатися в режимі максимально можливої анонімності, навіть імена конкретних осіб у базах даних необхідно замінювати псевдонімами – такими є нові правила.
Що означає GDPR для простих українців
Відтепер дані про громадянина ЄС (але де-факто – про кожну людину) не можуть бути доступні публічно без її «очевидної згоди». Більше того, ідентифікувати людину по її даних тепер буде дуже важко: інформація про ім’я, адресу та громадянство тощо відтепер зберігатиметься окремо від решти даних.
Утім, гарантії приватності, які надає директива, не є абсолютними: винятки робляться у ситуаціях, коли йдеться про національну безпеку, про інформацію про здоров’я та лікування людини, або тоді, коли дані збирає не компанія, а окрема людина – для «використання у приватному житті».
Простіше кажучи, знайомитися у соцмережах не стане складніше, чого не скажеш про просування товарів та послуг, визнають експерти.
Один із них, експерт Лабораторії цифрової безпеки Вадим Гудима, у розмові з Радіо Свобода уточнив: «Фактично GDPR – це закінчення анархії з персональними даними і спроба врегулювати це питання з боку ЄС – але по всьому світу. Що зміниться? Та вже змінилося досить багато. Всі великі соціальні мережі, пошуковики, найбільші компанії змінили правила користування даними. І запровадили нові технологічні рішення, щоб відповідати вимогам GDPR. Тобто ті зміни, які у нас хибно приписують скандалові з Facebook-у, планувалися давно, через те регулювання Євросоюзу (його зміст був відомий задовго до того, як воно набуло чинності – ред.)».
Нині українці, як і користувачі в усьому світі, мають змогу забирати дані, наприклад, з Facebook-у.
«Ця соцмережа змінила правила, як можна підписуватися та як відмовлятися від реклами тощо»,– наголошує експерт.
«Оператор персональних даних», тобто компанія, яка їх збирає, має чітко заявити, які дані збираються і як, чому вони опрацьовуються, як довго їх зберігатимуть і з ким ними ділитимуться. До прикладу, власники мобільних телефонів мають право запросити копію даних, зібраних оператором, якщо захочуть.
Українське законодавство про персональні дані й раніше мало частину обмежень і вимог, які містить GDPR, уточнює Вадим Гудима.
У Євросоюзі «персональні дані» трактуються більш широко, до них зараховують, зокрема, ІР-адреси чи номери телефонів: це те, чого наразі немає в українських законахВадим Гудима
«Наше законодавство про персональні дані є досить непоганим, і значна частина того, що запроваджує ЄС, в нас вже існує, принаймні на папері. Однак у Євросоюзі «персональні дані» трактуються більш широко, до них зараховують, зокрема, ІР-адреси чи номери телефонів: це те, чого наразі немає в українських законах», – каже він.
Нові європейські правила фактично поширюються і на українців, бо більшість великих компаній співпрацюють із ЄС, мають там філії або обслуговують громадян Євросоюзу, відтак їм доводиться змінювати правила для всіх клієнтів, пояснюють експерти.
Тим часом набуття чинності Загальним регламентом захисту даних викликало жваве обговорення в українському сегменті соцмереж.
Нові правила гри для бізнесу
Для українського бізнесу правила гри змінюються так само, як і для європейського, стверджує Вадим Гудима:
«Тому бізнесові, який претендує не те, щоб працювати на ринку ЄС, доведеться відповідати новому регулюванню та запровадити всі ці вимоги. Зокрема, інтернет-бізнес змушений внести ті корективи у свою роботу з даними, які вимагаються у Євросоюзі», – каже він.
Зміни торкнулися не лише великого українського бізнесу та онлайн-послуг, наголошує експерт.
Наприклад, якщо український готель веде базу даних і до нього бодай раз на рік приїжджатиме якийсь один європеєць, то їм доведеться відповідати всім вимогам ЄСВадим Гудима
«Регулювання, запроваджене GDPR, є транскордонним. Навіть якщо компанія не розташована у ЄС, але має там відділення, або ж працює з даними людей, що мешкають у Євросоюзі, це регулювання на неї поширюється. Наприклад, якщо український готель веде базу даних і до нього бодай раз на рік приїжджатиме якийсь один європеєць, то їм доведеться відповідати всім вимогам ЄС. Тобто краще контролювати персональні дані і мати змогу їх вивантажувати (видаляти на вимогу особи)», – роз’яснює експерт.
Він не виключає, що такі зміни у ЄС призведуть і до змін українського законодавства. Але у Лабораторії цифрової безпеки прогнозують, що українські компанії навіть без «законодавчого тиску» синхронізують свої внутрішні правила з вимогами ЄС.
Виконувати правила або… закрити доступ
Нові європейські правила поводження з персональними даними передбачають безліч нюансів. Тому низка американських та інших медіа просто закрили доступ для громадян з ЄС.
«На жаль, наш сайт тимчасово недоступний у більшості європейських країн» – такі повідомлення бачить європеєць, намагаючись почитати онлайн газети Chicago Tribune, Los Angeles Times, New York Daily News, The Baltimore Sun, Orlando Sentinel, South Florida's Sun-Sentinel, Newport News, Virginia’s Daily Press, Allentown, Pennsylvania's The Morning Call, Hartford Courant, The San Diego Union-Tribune та інші медіа.
Не дивно, адже порушникові загрожують штрафи до 4% від річного обігу його компанії, або до 24 мільйонів євро.
Як наслідок, компанії Facebook чи Google вже отримали низку позовів про порушення Загального регламенту про захист персональних даних, загальна сума позовів до кожної з цих компаній перевищує декілька мільярдів євро.