С 25 мая на территории Европейского союза вступает в силу регламент «О защите физических лиц при обработке персональных данных и свободном обращении таких данных». Новые правила должны повысить уровень защиты персональных данных внутри стран ЕС. Однако Россию изменения тоже частично коснутся. Именно поэтому в последние несколько дней российским пользователям начали массово приходить от компаний сообщения об изменении политики конфиденциальности. Объясняем, что изменится, для кого и как сильно.
Подобные уведомления об изменениях политики конфиденциальности пришли тысячам пользователей от российских компаний
Что за новые правила?
25 мая на территории ЕС начинает действовать Общий регламент по защите данных, он же General Data Protection Regulation, он же GDPR. Этот документ одобрили еще в апреле 2016 года. По данным «Коммерсанта», регламент преследует две цели. В первую очередь, он унифицирует и обновляет европейское законодательство о защите данных. До этого дня руководством для ЕС служила директива от 1995 года, но она давно устарела, и страны союза разрабатывали собственные законодательные акты. Кроме того, документ ужесточает требования к сбору, обработке, хранению и защите персональных данных. При этом действовать правила будут иначе, чем «закон Яровой». Российский документ предполагает, что компании должны собирать и хранить персональные данные клиентов, а регламент ЕС ограничивает бизнес в этом праве.
Что изменится?
С этого дня компании должны предоставлять клиентам информацию о правилах обработки данных в понятном и доступном виде. При этом процедура согласия не должна занимать одну секунду и ограничиваться проставлением галочки в специальном окошке. Подтверждение должно быть «четким утвердительным актом в письменной или устной форме», гласят правила. GDPR также предполагает, что у пользователя должна быть возможность отказаться от передачи данных без ущерба для совершения действия. Обработка данных должна стать прозрачным процессом, а у пользователя должна быть возможность за ним следить и в случае чего удалять личную информацию.
Компаниям также придется более строго следить за хранением персональных данных. Сами данные необходимо зашифровывать, а ключ к коду передавать только уполномоченным сторонам. Передавать данные третьим лицам GDPR категорически запрещает. Также он обязывает компании сообщать пользователям о любых утечках информации.
Кого коснутся новые правила?
Документ принимали в Евросоюзе, но его действие распространяется на тысячи российских компаний и пользователей. Требования GDPR должны выполнять все компании, которые используют персональные данные физического лица, находящегося на территории Евросоюза, пишет РБК.
— Это могут быть интернет-компании, компании банковской, туристической, транспортной, горнодобывающей отраслей, вдобавок компании металлургической промышленности, игровой индустрии, платежные системы и онлайн-сервисы (интернет-магазины, социальные сети и т.п.).
GDPR должны исполнять все, кто обрабатывает персональные данные, имеет веб-сайт c регистрацией или мобильные приложения, поддерживающие хотя бы один язык любой страны — члена Евросоюза, или позволяет совершать платежи в валютах союза, уточнил эксперт. Также новых правил должны будут придерживаться российские «дочки» европейских компаний.
Все российские компании будут исполнять правила?
Не все. По подсчетам аналитиков KPMG, под действие GDPR попадет каждая третья крупная российская компания, пишет ТАСС. GDPR затронет финансовые и банковские группы, сферу телекома и поставщиков услуг связи, компании ТЭК, фирмы, занимающиеся пассажирскими перевозками, онлайн-ритейл и поставщиков услуг, работающих с иностранными покупателями.
Компании начали готовиться к вступлению в силу нового регламента несколько месяцев назад. В марте представители Сбербанка сообщали РБК, что кредитная организация потратила 67,4 млн рублей на подготовку к вступлению GDPR. Деньги ушли на проведение аудита собственных практик обработки персональных данных и получение рекомендаций о том, каким образом привести их в соответствие с новыми требованиями.
Также о подготовке к изменениям сообщали РЖД, ВТБ, ЛУКОЙЛ, Альфа-банк, «Аэрофлот» и другие компании.
А минусы у GDPR есть?
Есть. По словам председателя Антифишинговой рабочей группы APWG Дэйва Джеванса, GDPR негативно повлияет на общую безопасность интернета и «не нарочно поможет киберпреступникам». Он заявил, что, ограничивая доступ к критически важной информации, новый закон сильно помешает «расследованию киберпреступлений, кражи криптовалют, фишинга, взломов с целью выкупа, вирусов, мошенничества и криптоджекинга».
Кроме того, всплыли негативные последствия введения новых правил. Так, темой с вступлением в силу регламента о защите физических лиц при обработке персональных данных воспользовались мошенники. Антивирусная компания Eset Nod32 сообщила, что под угрозой оказались туристы, пользующиеся приложением для бронирования жилья Airbnb. Зарегистрированным на сайте пользователям приходят электронные письма, в которых якобы модераторы сайта просят принять новые условия, связанные с вступлением в силу GDPR, и перейти для этого по специальной ссылке. После этого пользователь попадает на страницу, внешне идентичную официальной, но содержащую вирус. Там его просят подтвердить личную информацию и обновить данные банковской карты.
Что случится, если компании не будут исполнять правила?
За несоблюдение регламента компаниям грозят серьезные штрафы: от 10 до 20 млн евро или от 2 до 4% от годового оборота компании. Однако эксперты сомневаются, что российские компании в случае нарушений действительно понесут наказание. По словам исполнительного директора Digital Contact Ольги Кутейниковой, практика исполнения решений ЕС в России развита плохо, так что даже если комиссия Евросоюза наложит штраф, вероятность исполнения решения невелика.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = “http://connect.facebook.net/ru_RU/sdk.js#xfbml=1&version=v2.9&appId=274352232661260”; fjs.parentNode.insertBefore(js, fjs); }(document, ‘script’, ‘facebook-jssdk’));
Источник