«GDPR 2.0»: чего ждать от ePrivacy Regulation
В нашем блоге мы уже рассказывали об обработке персональных данных в Беларуси, регулировании в США и Европе. Обсудим еще один европейский законопроект, который будет своеобразным дополнением к GDPR и ужесточит правила работы с cookies и ПД.
/ Flickr / robmadeo / CC BY
Происхождение и цели ePrivacy Regulation
Сейчас в Европе (помимо GDPR) за описание механизмов работы с персональными данными пользователей «отвечает» директива ePrivacy Directive (PDF), которую приняли в 2002 году. Именно из-за неё владельцы сайтов начали запрашивать у посетителей согласие на использование cookie-файлов. Однако эта директива представляет собой лишь набор базовых правил, которые государства-члены ЕС могут модифицировать на свое усмотрение. Так сделали, к примеру, в Италии, изменив штрафы за утаивание утечек данных (национальный декрет Legislative Decree no. 69/2012, PDF).
Однако в Европарламенте решили внести корректировки в текущее положение вещей и сделать требования ePrivacy Directive едиными и непреложными для стран ЕС. По этой причине и появился проект ePrivacy Regulation.
Новый законопроект призван дополнить и укрепить требования, сформированные GDPR. При этом главная цель ePrivacy Regulation, по словам парламентариев, — защитить пользователей ИТ-сервисов от спама и навязчивой рекламы и укрепить их контроль над персональными данными (это прописано в главе второй, статьях №6–11).
Ранее ePrivacy Directive регулировал работу только телекоммуникационных операторов. Закон запрещал им выполнять какие-либо действия (запись, хранение, мониторинг) с телефонными разговорами и SMS-сообщениями без ведома и согласия клиентов. То теперь действие нового регламента решили распространить на приложения для коммуникации в интернете: мессенджеры, видеосвязь, электронную почту, IP-телефонию, IoT-гаджеты и др. (полный список указан в статье №4 законопроекта).
ePrivacy Regulation планировали «запустить» одновременно с GDPR — 25 мая 2018. Однако из-за разногласий внутри парламента и отрицательной реакции ИТ-сообщества (об этом подробнее расскажем дальше) голосование отложили до 2019 года.
Что гласит регламент
Регламент в очередной раз поднимает вопрос регулирования сookies и формирует требования к получению согласия на их обработку. По тексту документа, сookies могут быть обработаны и без ведома пользователя, но только если этот процесс обусловлен технической необходимостью для предоставления того или иного сервиса. Согласие пользователь должен будет давать для конкретных целей, а его отсутствие не должно влиять на качество или возможность предоставления услуги. То есть владелец ресурса обязан предоставить альтернативный вариант использования сервиса без cookies. При этом всю собираемую с помощью cookies информацию разрешено хранить лишь до тех пор, пока она нужна для работы сервиса.
Несмотря на то что работа с cookies является одной из главных тем законопроекта, в нем затрагиваются и другие аспекты, имеющие отношение к обработке персональных данных пользователей в сети. В частности, изменения коснулись IoT-индустрии. Согласно новому закону, передача данных от одного умного устройства к другому потребует пользовательского согласия. Это означает, что и поставщикам решений для умного дома, осуществляющих их постоянную поддержку на уровне экосистемы тематических устройств и приложений, придется получать согласие на передачу и обработку персональных данных.
При этом ePrivacy описывает ограничения для проведения прямых маркетинговых кампаний. Регламент обяжет рекламодателей раскрывать свои номера телефонов и использовать специальные префиксы, позволяющие идентифицировать рекламный звонок. В настоящее время эта информация почти всегда остается скрытой. При этом накладывается строгий запрет на спам — если пользователь не желает получать маркетинговые звонки или письма, то он должен быть внесен компанией в отдельный список (do-not-call list).
/ Flickr / Carsten Schertzer / CC BY
ePrivacy Regulation, как и GDPR, охватывает все организации, которые работают с данными резидентов стран ЕС, независимо от местоположения самой компании (статья №3 законопроекта). Максимальный штраф за нарушение норм ePrivacy Regulation составит от двух до четырех процентов годового дохода провинившейся компании или десять миллионов евро (статья №23 законопроекта).
Как «встретили» ePrivacy Regulation
В целом новый законопроект встретили довольно негативно. Связано это с опасениями тех компаний, на деятельность которых закон повлияет в первую очередь. Пока такое влияние оценивают исключительно на уровне прогнозов и исследований.
«Новый регламент «ударит» по рекламному, маркетинговому и медиабизнесу, — делится мнением начальник отдела развития сервиса аренды инфраструктуры в облаке 1cloud.ru Сергей Белкин. — Многим компаниям также придется переосмыслить ряд основных бизнес-процессов — так как, по сути, работа с cookies будет зарегулирована еще в большей степени по сравнению с ситуацией после ввода GDPR».
Исследование Developers Alliance, в который входит 70 тысяч программистов и представителей software-компаний, говорит, что ePrivacy повлияет не только на ИТ-сектор, но сократит доходы всего европейского бизнеса на 30%. По предварительным оценкам, предприятия потеряют 500 миллиардов евро. Группа энтузиастов даже записала видео, в котором показала негативную сторону ИТ-мира без cookies и рекламы.
В ответ на подобные аргументы депутаты Европарламента напоминают, что новый закон создают для защиты прав граждан, а не развития интернет-бизнесов. Биргит Зиппель (Birgit Sippel), депутат Европарламента от Германии, отметила, что цель ePrivacy — вернуть людям контроль над персональными данными. Задача законопроекта — показать, что конфиденциальность данных в цифровую эпоху нужна и возможна.
Отметим, что не все парламентарии согласны с Зиппель. Дэниэл Далтон (Daniel Dalton), выступающий в Европарламенте от Британии, заявил, что ePrivacy превратит Европу в «цифровое болото». Разобраться в которые все еще адаптируются к GDPR. Все представители компаний, с которыми говорил Далтон (от Microsoft и Google до небольших стартапов), выступают против ePrivacy.
Пока неизвестно, какая судьба ждет новый регламент (будут ли в него внесены какие-либо серьёзные изменения). Развязка наступит в 2019 году. Однако можно предположить, что «борьба» за принятие ePrivacy Regulation будет серьезной, возможно, сравнимой с той, которая развернулась вокруг GDPR.
P.S. Свежие материалы по теме из нашего корпоративного блога:
