25 мая 2018 года в силу вступил регламент GDPR (General Data Protection Regulation) — новый свод правил о политике конфиденциальных данных. GDPR — Генеральный регламент защиты персональных данных принят с целью защиты конфиденциальности европейских граждан и повышения контроля над организациями, собирающими и обрабатывающими персональные данные жителей стран ЕС.
GDPR призван заменить Data Protection Directive, действовавший с 1995 года. Основная цель нового регламента — унификация требований к операторам персональных данных, закрепление и расширение прав граждан Европейского Союза в области персональных данных. Новое положение носит трансграничный характер и обязательно для исполнения не только для участников рынка, находящихся в ЕС, но и для всех компаний, работающих с персональными данными граждан ЕС.
Основные принципы GDPR ↑
Принципы Генерального регламента защиты персональных данных ориентированы на интересы владельцев персональных данных, вводя строгое регулирование и контроль за компаниями, собирающими информацию о пользователях.
Согласно требованиям GDPR, организация должна получить от пользователя явно выраженное разрешение на сбор и использование персональных данных.
Основные принципы GDPR:
- Компания должна предоставить каждому пользователю информацию о том, какие данные и почему используются. При этом пользователь имеет право отказаться от передачи и последующего хранения данных.
- Каждый пользователь имеет право в любой момент изменить или удалить информацию о себе.
- Компании должны определить ответственного за защиту данных.
- В случае нарушения регламента или утечки данных компании должны уведомить об этом страны ЕС в течении трёх суток.
- Пользователь имеет право получить информацию об обработке своих персональных данных. Ответственный сотрудник обязан по запросу бесплатно предоставить копию имеющейся о нём информации.
- Право на забвение. Каждый пользователь может в любой момент попросить удалить свои данные, остановить их распространение и обработку.
- Пользователь может попросить передать свои данные другой компании.
- Встроенный алгоритм. Уже на этапе проектирования в систему должен быть добавлен механизм работы с персональными данными.
- Необходимость получать согласие на обработку данных для достижения конкретной цели. Если одни данные собираются для достижения нескольких целей, то необходимо получать согласие на каждую из них.
GDPR и штрафы ↑
До GDPR IT-компании позволяли себе игнорирование требований по обработке персональных данных для достижения собственных целей. GDPR резко увеличивает размер штрафов. Систематическое несоблюдение новых требований грозит штрафом в размере до 20 млн евро или 4% от оборота компании за предыдущий финансовый год.
Увеличение размера штрафа необходимы для принуждения к соблюдению GDPR тех IT-гигантов, которые бы могли выбрать стратегию уплаты штрафов, а не выполнения нового регламента. Предполагается, что Google и прочие корпорации будут вынуждены подчиниться новым требованиям.
Перед вынесением штрафа потенциальному нарушителю будет отправлено письмо с требованием устранения нарушений. Благодаря этому добропорядочный малый и средний бизнес сможет избежать лишних трат.
Письма счастья GDPR ↑
В конце апреля–начале мая пользователи получали письма об изменении политик конфиденциальности. Рассылали их все — от небольших сервисов до гигантов вроде Twitter, Google, «Яндекса», «Аэрофлота».
Такие письма — обязательное требование регламента, так как о любом изменении политики конфиденциальности пользователь обязательно должен быть предупрежден.
Действие GDPR распространяется на все организации, которые используют данные граждан ЕС. Поэтому соответствующие изменения в текст политики конфиденциальности вносят и отечественные компании. Подобное письмо присылал и «Яндекс».
«Яндекс» внёс необходимые изменения в текст политики конфиденциальности.
Практика GDPR и тактика операторов ↑
Генеральный регламент защиты персональных данных вступил в силу в прошлом месяце, но участники рынка уже выбрали ту или иную тактику по отношению к новым требованиям. У компаний был год для выполнения требований регламента (обновления политики конфиденциальности, внедрения технологических решений по сбору и обработке персональных данных, автоматизации бизнес-процессов и так далее).
Изменения WhatsApp ↑
Мессенджер WhatsApp ввёл функцию запроса информации об аккаунте. Экспорт истории переписки был доступен и ранее. Сейчас же приложение позволяет пользователям получить данные о настройках, фотографию профиля, имена групп и другую подобную информацию.
Отчёт формируется и предоставляется в течение трёх дней. После отправки запроса на аккаунт накладываются временные ограничения. Изменение номера телефона или удаление аккаунта отменят предоставление отчёта.
Обновление политики вводит возрастное ограничение для пользователей. Резиденты ЕС смогут зарегистирироваться с 16 лет. Ранее возрастное ограничение было установлено на уровне 13 лет, сейчас данная граница используется в отношении нерезидентов ЕС.
Ограничение доступа и GDPR ↑
IT-компании и социальные сети вынуждены подчиниться требованию нового регламента. Представители же других сфер сочли необходимым сделать недоступными свои сайты для пользователей из Европейского Союза.
Так, на сайтах Chicago Tribune, LA Times и других американских СМИ ограничен доступ для резидентов ЕС. Скорее всего это временное решение. Деятельность СМИ сильно зависит от роста и лояльности аудитории, а реклама напрямую зависит от трафика. Добровольное закрытие для себя части информационного рынка — передышка, которая позволит изучить правоприменение GDPR, оценить риски и перестроить свою работу для соблюдения GDPR.
Отдельная версия сайта для ЕС ↑
Другая тактика в условиях действия GDPR заключается в создании отдельной версии для пользователей из ЕС. Таким образом поступило издание USA Today.
Правила регламента, вступившего в силу 25 мая, касаются сбора и использования персональных данных. А они используются для интернет-аналитики и рекламы. Отсутствие дополнительных скриптов и рекламного контента облегчают страницу, что удобно для конечного пользователя.
Тактика отдельной версии сайта для показа жителям из ЕС выглядит оптимальным, но временным решением. Во-первых, интернет-СМИ сохраняют лоялную аудиторию, так как им всё же доступен контент. Во-вторых, пользователи получают моментальную загрузку страниц.
Проблема заключается в том, что владельцы интернет-ресурсов вряд ли смогут позволит себе подобную тактику на долгосрочной основе. Инструменты веб-аналитики прочно вошли в сферу интернет-маркетинга, для маркетологов это необходимый стандарт. Рекламодателям нужны данные о пользователях, редакции нужна аналитика потребления контента. Персонализация контента становится невозможной, так как без сбора и обработки данных невозможно учитывать и использовать уникальный пользовательский опыт. Всё же это решение лучше, чем полное ограничение доступа.
Можно предположить, что ограничение доступа и показ специальной версии сайта основываются на определении IP-адреса посетителя. Возникает неоднозначная ситуация в тех случаях, когда гражданин ЕС выходит в интернет из другой страны или использует VPN.
Дополнительная информация по GDPR ↑
Введение GDPR получило широкое обсуждение, породило споры и различные трактовки требований нового регламента. Предлагаем ознакомиться с дополнительными материалами о GDPR.
Документы:
Анализ и обсуждение GDPR:
- Новость о GDPR (Коммерсантъ);
- Истерия вокруг GDPR (перевод на Habr);
- Что нужно знать о новом регламенте GDPR (OWOX);
- Что делать с GDPR? «Самый сок» из западных ресурсов (Ringostat);
- GDPR — новые правила обработки персональных данных в Европе для международного IT-рынка (Digital Rights Center);
- «Согласно GDPR»: как соц.сети меняют политики конфиденциальности и принципы работы с ПД (ИТ-ГРАД).