Тайное не станет явным

Пока еще рано писать некрологи приватности. Слухи о ее смерти в эпоху интернета оказались сильно преувеличены.

25 мая 2018 года во всей Европе вступят в силу «Общие правила защиты данных» (GDPR — General Data Protection Regulation). Эти правила изменят и дополнят закон о защите конфиденциальности, принятый Европарламентом в 1995 году. Они призваны адаптировать европейское законодательство к современной цифровой реальности, росту социальных сетей и техническому прогрессу.

Как поясняет адвокат Идо Манор, руководитель технологического отдела адвокатской конторы «Герцог, Фукс, Неэман», новые правила будут применяться во всех странах ЕС, но их действие распространится далеко за пределы ЕС. Поскольку многим компаниям придется внести изменения в рабочие процессы и в используемые ими сегодня информационные системы, перемены коснутся пользователей во всем мире.

Новые правила являют собой наиболее обширный свод мер регуляции по всем вопросам, касающимся защиты личных данных. От компаний потребуют, среди прочего, представить подробный отчет о методах обработки ими информации, сформулировать новые документы, оформить процедуры выполнения новых правил, назначить ответственных за соблюдение законов о защите информации, и т.п.

Это  то, что касается оргчасти. А технически от компаний, которые накапливают личную информацию клиентов, потребуют внедрить новые программы ее защиты, иметь технологическую возможность доказать, при необходимости, что они выполняют этот закон, и предоставить клиентам инструменты реализации своих «цифровых прав» (на использование, создание и публикацию цифровых произведений, на использование компьютерных устройств и доступ к интернету — прим. «Детали«).

Новые правила расширяют для жителей ЕС и сами цифровые права. В частности, люди смогут просить поставщиков услуг удалять данные о них (право на забвение), возражать против создания их «поведенческого профиля» и против принятия решений, принятых на основе автоматической обработки сведений о них. Это  в дополнение к прочим правам, включая право на получение копии личных данных, право на просьбу внести изменения в информацию о себе или право на ограничение возможностей поставщика услуг по передаче данных о человеке третьей стороне. Службы информационный безопасности будут обязаны сообщать о попытках взлома информационных баз, «псевдонимизации» (подмены фрагментов личной информации определенного человека), попыток скрыть личные данные и других подобных инцидентом.

Затронет ли этот процесс израильские компании? Да, потому что правила применимы к любой фирме или организации, собирающей личные сведения о клиентах в процессе поставок услуг и товаров на европейский рынок. Таким образом, неважно, где расположена сама компания, которая создает поведенческий профиль клиента — в Лондоне, Нью-Йорке или в Тель-Авиве. Но особенно актуальны новые правила для фирм, которые часть своих работников нанимают в странах ЕС.

В Израиле, как и в других странах, многие компании уже начали готовиться к вступлению новых правил в силу. Правила актуальны и в том случае, если информацию предоставляют сами житель ЕС (например, адреса их электронной почты вводятся для регистрации на сайте компании) — и если эти сведения получены автоматически (например, путем сбора данных о геолокации пользователей). Речь идет о любых данных, относящихся к человеку прямо или косвенно: и IP-адрес, с которого осуществлено соединения с интернетом, и место, в котором находится человек, определенное по GPS — все это считает частной информацией.

Основной удар будет нанесен по интернет-компаниям, потому что их главный актив, клиентская база данных, теперь становится высоко-рисковым. Предположительно, главными объектами контроля в Европе станут СМИ, интернет-провайдеры, банки, компании big-data, платформы онлайн-торговли, больницы, страховые агентства, отели — то есть все те структуры, которые по роду деятельности накапливают оцифрованные сведения о клиентах.

За несоблюдение новых правил предусмотрены чрезвычайно жесткие наказания: штраф может достигать 20 млн. евро, или 4 процентов от годового оборота компании, проигнорировавшей директивы GDPR. Но отказаться от их выполнения трудно еще и потому, что сами европейские фирмы будут требовать от своих иностранных партнеров декларировать выполнение новых правил.

Адвокат Идо Манор, The Marker. Фотоиллюстрация: Kim Kyung Hoon Reu, Reuters 

тэги

Реклама





Send this to a friend