[Новые политики конфиденциальности] Что изменилось в цифровом пространстве с момента введения в Евросоюзе GDPR

отметили
55
человек
в архиве
[Новые политики конфиденциальности] Что изменилось в цифровом пространстве с момента введения в Евросоюзе GDPR

ЕС ввел в действие Общий регламент защиты данных (Global data protection regulation, GDPR) неделю назад, 25 мая. Большинство пользователей узнало об этом нововведении из-за лавины спама, которая образовалась в их почтовых ящиках, от самых разных интернет-ресурсов, просивших обновить согласие на изменение политики обработки личных данных. Однако, несмотря на прогнозы критиков этой системы, к валу судебных исков она пока не привела.

источник: tenerifetoday.ru

Что это такое, как оно работает и влияет на жизнь провайдеров интернет-услуг, их пользователей и всего цифрового пространства в целом, ТАСС рассказал эксперт в сфере электронных коммуникаций, консультант компании Orange Андре Смет.

«GDPR — это бюрократическая революция в цифровом пространстве. Попытка создать сложную административную систему для контроля сбора и распространения личных данных в интернете. Но здесь есть две небольшие проблемы: во-первых, сложность GDPR грозит свести на нет его результаты, во-вторых, скорость развития цифровых технологий и информационной среды на порядок превосходит скорость работы законодателей и регуляторов, которые их должны контролировать», — отметил эксперт.

На весь мир

Эксперт подчеркнул, что GDPR распространяется на весь мир, на все без исключения сайты и сервисы, которые могут иметь отношение к обработке и хранению личных данных граждан Евросоюза. Экстерриториальность GDPR прописана в самом тексте документа.

По сути, под GDPR подпадают все ресурсы, на которые хотя бы теоретически могут попасть личные данные гражданина ЕС. Под такими данными этот регламент подразумевает не только имя, фамилию, адрес или номера личных документов, а вообще любую информацию о предпочтениях пользователя, «лайках», выборках товаров и услуг или критериях поиска информации, музыки и видеоклипов в соцсетях.

То есть речь идет практически о любых данных о человеке, которые в настоящее время в автоматическом режиме собираются в том числе при помощи cookies — текстовых микрофайлов, создаваемых практически любым интернет-ресурсом. Эти файлы позволяют интернет-сервису при каждом обращении к нему пользователя получить информацию о его предпочтениях для повышения качества услуг.

Согласно материалам Еврокомиссии, главная цель GDPR — дать возможность полного контроля за сбором личных данных самому пользователю, то есть любому физическому или юридическому лицу в ЕС, а на практике — и за пределами ЕС, поскольку интернет-алгоритмы паспорт для сверки гражданства не запрашивают и обращаются с любыми запросами одинаково.

Драконовские штрафы

Штрафами за нарушения этого регламента Еврокомиссия грозит поистине драконовскими: в зависимости от тяжести нарушения они могут составить до 4% от мирового оборота компании-нарушителя за последний полный финансовый год или до €20 млн, причем берется большая цифра. Для смягчения наказания могут, впрочем, учитываться много факторов, в частности то, насколько активно ресурс будет сотрудничать с регулятором для устранения проблемы после получения уведомления о нарушении требований GDPR, пояснил Смет.

По умолчанию и по дизайну

Итак, два базовых понятия GDPR — неприкосновенность личных данных по умолчанию (privacy by default) и по дизайну (by design).

По умолчанию означает, что абсолютно все провайдеры интернет-услуг любого типа обязаны исходить из того, что их клиент не желает сбора какой бы то ни было информации о нем, а также получения различных рассылок и прочих «бонусов» без его предварительного уведомления и согласия. То есть автоматически принимаемое сайтом решение о готовности потребителя получать его информационную рассылку уже является прямым и грубым нарушением GDPR.

По дизайну: речь идет об организации баз личных данных таким образом, чтобы они хранились только в анонимном виде, то есть чтобы при получении доступа к базе нельзя было идентифицировать реальных лиц, чья информация сохранена. Ключ или дополнительные сведения, допускающие такую расшифровку, должны храниться отдельно от базы данных.

Что нам это даст?

GDPR обещает каждому пользователю многочисленные бонусов. Во-первых, право на забвение, то есть пользователь может потребовать от провайдера полного удаления всей информации о нем, будь то файл в соцсети или история покупок в интернет-магазине. Причем сохранение любых копий этой информации станет нарушением GDPR, караемым штрафом по самой высокой ставке.

Во-вторых, право на ограничение применения персональных данных, то есть пользователь должен иметь четкое право в любой момент отменить данное им разрешение на сбор, обработку или передачу третьим лицам его данных.

В-третьих, право переноса личных данных. Это самое неочевидное для реализации правило, которое должно позволить пользователю потребовать при смене провайдера услуг автоматически передать свои данные новому провайдеру без необходимости их повторного предоставления. Это проще понять на следующем примере: при смене провайдера мобильной связи старый провайдер должен по первому требованию пользователя и без задержки передать досье новому. Впрочем, как это будет работать с другими сервисами, где формат сохранения данных не стандартизирован, большой вопрос, отметил эксперт.

Он также напомнил, что негражданам ЕС не следует рассчитывать, что они смогут жаловаться в Еврокомиссию на нарушения GDPR их национальными провайдерами. «Эта система защищает личные данные граждан Евросоюза, поэтому если податель жалобы не является гражданином страны Евросоюза и в его обращении не вскрыты факты нарушения правил обработки данных граждан ЕС, то ее вряд ли кто-то станет рассматривать», — пояснил Андре Смет.

Чего нам это будет стоить?

«Цели GDPR заявлены, сформулированы и законодательно оформлены вполне четко. Сам регламент крайне длинный и практически недоступный для понимания неспециалиста, но вполне уясним для профессионала информационного бизнеса или грамотного консультанта. Но 90% преступлений в информационной среде осуществляются не чисто техническими методами, а на грани технологии и человеческого фактора. Эта же проблема в GDPR», — отметил консультант компании Orange.

«Это примерно так: человек хочет посмотреть кино или купить пиво онлайн, и вдруг перед ним всплывает окно с объяснением всех его прав по защите информации, правил доступа к ней третьих лиц, возможностей проверки, какие данные сохранены и как их удалить. Все, как требует Еврокомиссия. Что он сделает? Начнет изучать эти пункты и полезет в Google выяснять непонятные позиции или уберет текст и закроет окно?» — задался риторическим вопросом эксперт.

По его словам, благое намерение дать пользователю право контроля за его данными «уже сформировало колоссальные потоки спама в электронной почте». «Все сервисы, на которые вы когда-либо подписывались, вдруг бросились просить вашего согласия на изменения в их политике конфиденциальности, спешно приведенной в соответствие с требованиями GDPR», — пояснил Смет.

Он также отметил, что приведение всех сайтов в соответствие с этими регламентами потребует «значительных финансовых затрат их пользователей», в первую очередь на консультационные и юридические услуги, поскольку GDPR, безусловно, будет обновляться, а незнание закона от ответственности не освобождает.

Спецслужбам не помеха

Кроме того, эксперт заметил, что этот регламент не позволит призывать к ответу «государственных игроков», например спецслужбы, за сбор личных данных пользователей. «Для этого у Еврокомиссии просто нет инструментов», — добавил он. Впрочем, GDPR в случае его повсеместного применения теоретически должен значительно осложнить нелегальный сбор данных и государственным игрокам, которые зачастую получают их от операторов коммерческих сервисов.

Как быть оператору?

Что же следует делать оператору интернет-ресурса, чтобы соответствовать требованиям GDPR? «Ни в коем случае не черпать информацию об этом ресурсе в СМИ», — отметил Смет. Он подчеркнул, что, помимо пошаговых инструкций обеспечения соответствия сайта требованиям GDPR, которые есть на сайте Еврокомиссии, уже существует целый ряд программных продуктов, в том числе от ведущих мировых разработчиков, которые помогают проверить соответствие сайта требованиям нового регламента.

«Во всяком случае, нужно сделать четыре обязательных шага: пересмотреть техническую часть системы сбора и хранения личных данных (шифрование данных, обучение персонала, пересмотр возможных схем обмена данными), внести изменения в политику конфиденциальности, создать механизмы для уведомления и контроля со стороны пользователей, обеспечить разделение и соблюдение функций контролера личных данных (data controller) и их обработчика (data processor) и, наконец, на постоянной основе следить за обновлениями регламента и своевременно интегрировать их в свой сервис», — заключил эксперт.

источник: csee-etuce.org

Добавил Stopor Stopor [БАН] 2 Июня
проблема (6)
Комментарии участников:
Юлька с н2
0
Юлька с н2, 2 Июня , url

>> Большинство пользователей узнало об этом нововведении из-за лавины спама, которая образовалась в их почтовых ящиках, от самых разных интернет-ресурсов

Под большинством пользователей автор новости явно имеет ввиду себя :)

Stopor
+5
Stopor [БАН], 2 Июня , url

Забавно, но ты явно относишься к меньшинствам.

У меня каждый день приходят уведомления от разных сервисов, которыми я пользуюсь, с предложениями ознакомиться с их новой политикой конфиденциальности.

Юлька с н2
0
Юлька с н2, 2 Июня , url

У меня тоже чего-то подобное порой проскакивает. Но я сразу отмечаю как спам.

Если я пользуюсь каким-то сервисом или еще чем-то, это не повод чтобы они мне засирали почту. Если у меня карта Сбера, это не дает право Сберу посылать то, что у них не спрашивали. Все спамеры одинаковые.

Еще за что вашу братию юристов не люблю. Это ведь вы договыры составляете в пользу корпораций. Мы часто оформляем сотрудникам симки. Так они должны отметить незаметный пункт в договоре галочкой, чтобы им спам не рассылали. Если не отметишь — согласился на спам.

Stopor
-1
Stopor [БАН], 2 Июня , url

На самом деле это стандартная обязательная процедура: предложить пользователю ознакомиться с тем как хранятся его персональные данные и дать согласие либо отказ на их использование в определенных случаях, объёме и определенными способами.

Формальное соблюдение закона, которое ты, взяточница, так не любишь, зато потом верещишь — люди «законы нарушаютььь», ай-я-яй.

Например, ты бы не слишком обрадовалась, если бы админ или Григорий разгласили твой почтовый адрес, Ай-пи и прочую сообщенную сайту информацию.

Юлька с н2
0
Юлька с н2, 2 Июня , url

Не знаю. Н2 как игра сейчас. У всех свои персонажи. И я не американская или киевская шпионка, чтобы что-то всерьез скрывать. Но если все в эту соцсеть начнут заходить по паспорту и под своими реальными именами, предполагаю, что игра тут же закончится и все потеряют интерес. Останутся только админ с григорием :( 

Stopor
0
Stopor [БАН], 2 Июня , url

Снова подменяешь заданный вопрос. Там сказано об Ай-пи и электронной почте, которые известны администрации ресурса.

Можешь больше мне не отвечать, надоела со своим флудом и увёртками от прямых ответов, за что ни у кого нет уважения к твоей торгашеской братии.

GreyWolf
0
GreyWolf, 2 Июня , url

Причем тут вы? Сейчас все конторы, которые хранят данные европейских пользователей (гуглы, аплы, асусы, самсунги, микрософты,..., банки, даже районная поликлиника), разослали уведомления пользователям, что они хранят данные пользователя, и не могут предоставлять пользователю услуги, если он отказывается дать им право хранить его данные. Гугл даже в телефон не пускал, пока не нажмешь «согласен».

istinspring
+3
istinspring, 2 Июня , url

ага радостные репорты типа мы спешим уведомить вас, что все сделано как завещал Европейский Союз!

В ру же блять началось бы нытье, проплачанные статьи пугалки как щаз тарифы повысят, посты на медузах и эхах москвы про кровавый режим. Дуров бы призывал самолетики запускать. Короче мудачье двуличное.

Stopor
+2
Stopor [БАН], 2 Июня , url

Наши дуровы такие дуровы. Что выросло то выросло. :)

blogman
+3
blogman, 2 Июня , url

Причем сохранение любых копий этой информации станет нарушением GDPR, караемым штрафом по самой высокой ставке

Очень это веселое занятие — удалять информацию из инкрементных архивов)

shaman
+6
shaman, 2 Июня , url

Кровавые режимы! Где завывания либерды о том, что душат IT-бизнес новыми драконовскими запретами и экстерриториально свои законы втюхивают? :))))))))))))

prisde
0
prisde, 2 Июня , url

да это реально пиздец. прижать можно будет любого

shaman
0
shaman, 2 Июня , url

Ну, не любого :) Можно сидеть на голом html без кукисов, cgi и серверного сбора статистики :)))

Интересно, что когда и как на это скажут всякие пейсбуки и свитеры :))

prisde
0
prisde, 2 Июня , url

а как определеить — на сервере голый html или полный набор следящего кода? пользователя идентефицировать можно и без куков. 

да в любом случае сервер сохраняет логи активности на вашем сайте. 

shaman
0
shaman, 3 Июня , url

Какая проблема логи отключить? )

prisde
0
prisde, 3 Июня , url

а нахрена? как они докажут, что я веду логи, собираю статистику о пользователях ЕС? сервер же может быть где угодно

норд
0
норд, 2 Июня , url

в виндузе с незапамятных времен встроена туева хуча механизмов защиты, которые больше анноят самого пользоваетеля.

Но я видел дофига вирусов, которым пофиг всякие UAC и прочие виндузные охранные фишки.

Т.е. здесь мы видим очень большую нагрузку на сайты, на провайдеров, на пользователей… но опять, наворотов много — а толку...

GreyWolf
0
GreyWolf, 2 Июня , url

Куда пожаловаться на вконтактель, чтобы они удалили мою электронную почту из своей говносистемы? Какая-то сволочь использовала мой е-мейл, чтобы создать себе аккаунт в вконактеле, и я уже 5-й год полючаю из вконтактеля всякий спам...

Stopor
0
Stopor [БАН], 2 Июня , url

А забрать левый аккаунт через восстановление его пароля никак?

oleg_ws
0
oleg_ws, 2 Июня , url

Там восстановление идет не через почту, а через телефон

oleg_ws
+1
oleg_ws, 2 Июня , url

А в ихгюю техподдержку было обращение? Был ли получен какой-либо ответ?

GreyWolf
0
GreyWolf, 2 Июня , url

Техподдержка ничем помочь не может. Нужен номер телефона или фото паспорта с таким же фото, как на аккаунте. В общем никак. Просто забил на это...

oleg_ws
+2
oleg_ws, 2 Июня , url

Я бы с описанием проблемы и копией ответа от ВКонтакте обратился бы РКН с информацией о нарушении закона о защите личной инйформации и посмотрел бы, что ответят там.



Войдите или станьте участником, чтобы комментировать