Как европейцы борются за сохранность персональных данных

image

Беспокойство граждан Евросоюза, связанное с хранением их личных данных глобальными корпорациями, в последние годы сильно возросло и уже граничит с открытым возмущением. Виной тому стали быстрое развитие коммуникационных технологий, участившиеся случаи утечек персональных данных, размытая политика IT-гигантов в отношении обеспечения защиты личной информации и отсутствие единых и прозрачных правил.

Под давлением активистов органы Европейской юстиции и Европарламент приняли ряд законов по защите личных данных своих сограждан и их репутации («Общие положения о защите данных» — GDPR и нашумевшее «право на забвение»). Однако, судя по последним событиям, борьба за сохранность конфиденциальной информации еще далека от завершения.
Речь шла даже о возможном запрете хранения персональных данных граждан за пределами ЕС. Высказывались опасения, что действующие соглашения об обработке персданных таких компаний, как Facebook, Amazon и Google, могут идти вразрез с политикой ЕС в области защиты личных данных и впоследствии привести к «армагеддону информационных потоков».

Максимилиан Шремс против «Тихой гавани»

image

В октябре 2015 года Европейский Cуд Справедливости отменил действие трансатлантического соглашения об использовании персональных данных, известного как «Тихая гавань». Этому предшествовало несколько судебных слушаний, инициатором которых стал австриец Максимилиан Шремс.

Австрийский магистр права, медиаюрист Шремс еще студентом начал подозревать, что Facebook хранит всю информацию о пользователях в США и пользуется ей без оглядки на нормы права ЕС. После множества обращений в соцсеть Шремс получил CD-диск от Facebook со всей информацией о себе, которая хранилась в Америке. При первом просмотре он обнаружил удаленные и закрытые им от публичного просмотра сообщения, которые по-прежнему были в базе компании.

На основании этих нарушений активист подал в августе 2011 г. жалобу в ирландский суд по защите персональных данных. Суд обязал соцсеть аккуратнее относиться к конфиденциальности данных, однако это постановление компания Цукерберга оставила без внимания.

Тогда Макс вместе с соратниками решил бороться за право европейцев на приватность данных. Им была создана общественная организация «Союз осуществления права на защиту данных «Европа против Facebook» (Verein zur Durchsetzung des Grundrechts auf Datenschutz «http://europe-v-facebook.org/»).

В 2013 году Шремс подает в Дублин новый иск против соцсети, но его отклоняют, тогда активист добивается передачи дела в Европейский Суд Справедливости (ЕСС).

В октябре 2015 года ЕСС постановил, что данные европейцев, находящиеся на на серверах американских компаний, недостаточно защищены, что нарушает законы Евросоюза. Генеральный прокурор ЕСС Ив Бот подверг критике прежде всего доступность персональной информации американским спецслужбам. На основании вышеуказанных фактов было принято решение о денонсации договора «Тихая гавань».

После решения Эдвард Сноуден написал в Twitter: «Поздравляю, Макс Шремс, ты изменил мир к лучшему». Немало СМИ в Соединенном королевстве и в США наградили Шремса титулом «продолжатель дела Сноудена».

После отмены «Тихой гавани» продолжил действовать «Типовой договор» (modern contract clauses), в рамках которых тысячи мультинациональных корпораций осуществляют трансатлантическую передачу данных.

Как заявил Шремс: «Я не думаю, что Европейский суд справедливости может признать «Типовой договор» действительным, ведь до этого им было принято решение о прекращении действия «Тихой гавани», основанной на тех же американских законах. Все адвокаты по защите данных знают, что «Типовой договор» очень ненадежен, но он был наиболее простым и быстрым решением, которое они смогли придумать. До тех пор, пока США существенно не изменят свои законы, я не вижу возможности разрешения ситуации».

С конца 2015 года ЕС и США обсуждали новое соглашение взамен «Тихой гавани», получившее название «ЕС-США Щит секретности» (EU-US Privacy Shield). Проект, вступивший в силу 1 августа 2016 г., содержит письменное обязательство правительства США об ограниченности и подконтрольности любого доступа с их стороны к персональным данным пользователей.

Также отмечается, что для выявления и рассмотрения жалоб европейцев на действия американских спецслужб будет назначен независимый омбудсмен, подчиняющийся непосредственно госсекретарю США.

Новые требования ЕС к хранению личных данных

image

В апреле 2016 года Европарламент окончательно ратифицировал «Общие положения о защите данных» — GDPR, вступающие в силу 4 мая 2018 года. Компании на территории Европейского союза в течение 2 лет обязаны привести свой бизнес в соответствие с новым законодательством. По мнению экспертов, реформа защиты данных давно назрела, учитывая возросшее влияние больших объемов данных, социальных медиа и грядущего расцвета Internet of Things.
Реформа призвана унифицировать правила и создать единый и надежный механизм по защите данных для граждан ЕС. Законодатели надеются, что повышение уровня правовой определенности простимулирует инновации на рынке цифровых услуг.

Как говорится в экспертном заключении EDPS, споры, ведущиеся в данный момент, осложняются неправильным пониманием концепций уведомления и согласия. В соответствии с европейским законодательством о защите данных, согласие с политикой конфиденциальности означает свободный выбор с возможностью сказать «да» без какого-либо ущерба и отказа от пользования услугой. Оно также требует четкого понимания того, с чем человек соглашается.
Большое количество исследований свидетельствует, что успех новых продуктов и сервисов, агрегирующих БД, во многом связан с доверием пользователей. Во многом поэтому часть требований GDPR касается обеспечения пользователей удобными инструментами для контроля за персданными. Также пользователям необходимо предоставить «право на забвение» и возможность быть оповещенным, если личные данные подверглись угрозе.

Новыми правилами будет обеспечена возможность переноса личных данных от одного поставщика услуг к другому. Таким образом стартапы и небольшие компании смогут получить доступ к рынкам, где сегодня доминируют цифровые гиганты, и привлекать потребителей лучшей защитой ПД. Это, как уверены политики, сделает европейскую экономику более конкурентоспособной.

Кроме того, организации будут обязаны публиковать корпоративные политики защиты данных в понятном и легкодоступном для пользователей виде. Специальные «иконки» на веб-сайтах будут объяснять, каким образом, кем и под чьей ответственностью будут обрабатываться персональные данные.

Правила требуют, чтобы инструменты защиты персданных были встроены в продукты и сервисы с самого начала их разработки (Data protection by design), что подтолкнет компании к развитию «конфиденциальных» технологий вроде псевдоанонимизации, шифрования и протоколов для защиты личной переписки.

В связи с тем, что у компаний появилась потребность в переформатировании своей деятельности в связи с введением GDPR, возрос спрос на консалтинговые услуги.

Один из лидеров в сфере IT-консалтинга, компания Veritas Technologies опубликовала ряд рекомендаций с целью помочь компаниям подготовиться к вступлению в силу GDPR.

Согласно исследованиям, 52% информации, хранимой и обрабатываемой организациями по всему миру, представляет собой «темные данные» (dark data) — информационные ресурсы, которые компании собирают, обрабатывают и хранят в рамках обычной хозяйственной деятельности, но не могут использовать для других целей — для анализа, деловых отношений или прямой монетизации. Поэтому новым нормам «Общих положений» может помешать тот факт, что большинству компаний не доступна около половины состава информации, которую они хранят.

Консалтинговые конторы предлагают несколько решений для сокращения объема «темных данных». Для этого они разрабатывают программы, позволяющие обеспечивать лучшее понимание неструктурированной информации, контролировать доступ к сведениям и производить автоматическую классификацию данных.

А что в России?

1 сентября 2015 года в России вступили в силу поправки к закону № 242 «О персональных данных», которые требуют локализации персональных данных на территории России. Согласно подписанному президентом документу, российские и зарубежные компании должны обеспечивать запись, накопление и хранение персональных данных россиян. Базы данных должны быть локализованы на территории РФ. За соблюдением этих норм следит Роскомнадзор. Согласно исследованию РАЭК, 242-ФЗ станет драйвером отрасли — к 2018 году рынок обработки данных страны вырастет в 2 раза (26,3 млрд рублей).

К моменту вступления в силу нормативного акта ряд компаний объявил о начале переноса личных данных в российские дата-центры: Samsung, Lenovo, Aliexpress, Ebay, PayPal, Uber, Booking.com, Obi, Teradata, Avito, Western Union и др.

Зарубежные компании, которые присутствуют на российском рынке хранения и обработки данных, в связи с принятием закона ощутили приток новых клиентов. В частности, британская IXcellerate заявляла о значительном расширении своей клиентской базы в России. По сообщениям СМИ, на российских серверных мощностях IXcellerate локализовался такой мировой гигант, как Apple. Европейский офис другого крупного игрока на отечественном рынке хранения и обработки данных — «дочки» крупнейшего французского сотового оператора Orange — Orange Bussiness Services — перед вступлением в силу 242-го федерального закона системно информировал своих клиентов в Европе о новшествах российского законодательства. Им предлагалось воспользоваться облачным решением Orange, полностью замкнутым на российских серверах.

Европейские регуляторы также с большим интересом следили за подготовкой к вступлению в силу и исполнением российского закона о локализации персональных данных. Этому вопросу в значительной степени была посвящена проходившая в ноябре прошлого года в Москве конференция «Защита персональных данных», куда многие европейские уполномоченные органы направили своих представителей. Не исключено, что именно российский опыт регулирования будет принят за основу властями EC.

© Geektimes