«GDPR 2.0»: чего ждать от ePrivacy Regulation

В нашем блоге мы уже рассказывали об обработке персональных данных в Беларуси, регулировании в США и Европе. Обсудим еще один европейский законопроект, который будет своеобразным дополнением к GDPR и ужесточит правила работы с cookies и ПД.

hbwjc9xlbkkrv6tmfqi7uu7hrjc.jpeg
/ Flickr / robmadeo / CC BY

Происхождение и цели ePrivacy Regulation


Сейчас в Европе (помимо GDPR) за описание механизмов работы с персональными данными пользователей «отвечает» директива ePrivacy Directive (PDF), которую приняли в 2002 году. Именно из-за неё владельцы сайтов начали запрашивать у посетителей согласие на использование cookie-файлов. Однако эта директива представляет собой лишь набор базовых правил, которые государства-члены ЕС могут модифицировать на свое усмотрение. Так сделали, к примеру, в Италии, изменив штрафы за утаивание утечек данных (национальный декрет Legislative Decree no. 69/2012, PDF).

Однако в Европарламенте решили внести корректировки в текущее положение вещей и сделать требования ePrivacy Directive едиными и непреложными для стран ЕС. По этой причине и появился проект ePrivacy Regulation.

Новый законопроект призван дополнить и укрепить требования, сформированные GDPR. При этом главная цель ePrivacy Regulation, по словам парламентариев, — защитить пользователей ИТ-сервисов от спама и навязчивой рекламы и укрепить их контроль над персональными данными (это прописано в главе второй, статьях №6–11).

Ранее ePrivacy Directive регулировал работу только телекоммуникационных операторов. Закон запрещал им выполнять какие-либо действия (запись, хранение, мониторинг) с телефонными разговорами и SMS-сообщениями без ведома и согласия клиентов. То теперь действие нового регламента решили распространить на приложения для коммуникации в интернете: мессенджеры, видеосвязь, электронную почту, IP-телефонию, IoT-гаджеты и др. (полный список указан в статье №4 законопроекта).

ePrivacy Regulation планировали «запустить» одновременно с GDPR — 25 мая 2018. Однако из-за разногласий внутри парламента и отрицательной реакции ИТ-сообщества (об этом подробнее расскажем дальше) голосование отложили до 2019 года.

Что гласит регламент


Регламент в очередной раз поднимает вопрос регулирования сookies и формирует требования к получению согласия на их обработку. По тексту документа, сookies могут быть обработаны и без ведома пользователя, но только если этот процесс обусловлен технической необходимостью для предоставления того или иного сервиса. Согласие пользователь должен будет давать для конкретных целей, а его отсутствие не должно влиять на качество или возможность предоставления услуги. То есть владелец ресурса обязан предоставить альтернативный вариант использования сервиса без cookies. При этом всю собираемую с помощью cookies информацию разрешено хранить лишь до тех пор, пока она нужна для работы сервиса.

Несмотря на то что работа с cookies является одной из главных тем законопроекта, в нем затрагиваются и другие аспекты, имеющие отношение к обработке персональных данных пользователей в сети. В частности, изменения коснулись IoT-индустрии. Согласно новому закону, передача данных от одного умного устройства к другому потребует пользовательского согласия. Это означает, что и поставщикам решений для умного дома, осуществляющих их постоянную поддержку на уровне экосистемы тематических устройств и приложений, придется получать согласие на передачу и обработку персональных данных.

При этом ePrivacy описывает ограничения для проведения прямых маркетинговых кампаний. Регламент обяжет рекламодателей раскрывать свои номера телефонов и использовать специальные префиксы, позволяющие идентифицировать рекламный звонок. В настоящее время эта информация почти всегда остается скрытой. При этом накладывается строгий запрет на спам — если пользователь не желает получать маркетинговые звонки или письма, то он должен быть внесен компанией в отдельный список (do-not-call list).

s7wthghshi_k6rahnybloehptce.jpeg
/ Flickr / Carsten Schertzer / CC BY

ePrivacy Regulation, как и GDPR, охватывает все организации, которые работают с данными резидентов стран ЕС, независимо от местоположения самой компании (статья №3 законопроекта). Максимальный штраф за нарушение норм ePrivacy Regulation составит от двух до четырех процентов годового дохода провинившейся компании или десять миллионов евро (статья №23 законопроекта).

Как «встретили» ePrivacy Regulation


В целом новый законопроект встретили довольно негативно. Связано это с опасениями тех компаний, на деятельность которых закон повлияет в первую очередь. Пока такое влияние оценивают исключительно на уровне прогнозов и исследований.

«Новый регламент «ударит» по рекламному, маркетинговому и медиабизнесу, — делится мнением начальник отдела развития сервиса аренды инфраструктуры в облаке 1cloud.ru Сергей Белкин. — Многим компаниям также придется переосмыслить ряд основных бизнес-процессов — так как, по сути, работа с cookies будет зарегулирована еще в большей степени по сравнению с ситуацией после ввода GDPR».


Исследование Developers Alliance, в который входит 70 тысяч программистов и представителей software-компаний, говорит, что ePrivacy повлияет не только на ИТ-сектор, но сократит доходы всего европейского бизнеса на 30%. По предварительным оценкам, предприятия потеряют 500 миллиардов евро. Группа энтузиастов даже записала видео, в котором показала негативную сторону ИТ-мира без cookies и рекламы.

В ответ на подобные аргументы депутаты Европарламента напоминают, что новый закон создают для защиты прав граждан, а не развития интернет-бизнесов. Биргит Зиппель (Birgit Sippel), депутат Европарламента от Германии, отметила, что цель ePrivacy — вернуть людям контроль над персональными данными. Задача законопроекта — показать, что конфиденциальность данных в цифровую эпоху нужна и возможна.

Отметим, что не все парламентарии согласны с Зиппель. Дэниэл Далтон (Daniel Dalton), выступающий в Европарламенте от Британии, заявил, что ePrivacy превратит Европу в «цифровое болото». Разобраться в которые все еще адаптируются к GDPR. Все представители компаний, с которыми говорил Далтон (от Microsoft и Google до небольших стартапов), выступают против ePrivacy.

Пока неизвестно, какая судьба ждет новый регламент (будут ли в него внесены какие-либо серьёзные изменения). Развязка наступит в 2019 году. Однако можно предположить, что «борьба» за принятие ePrivacy Regulation будет серьезной, возможно, сравнимой с той, которая развернулась вокруг GDPR.

P.S. Свежие материалы по теме из нашего корпоративного блога:

© Habrahabr.ru