В ЕС вступает в силу новый регламент защиты ПД
В конце мая Европейский союз планирует ужесточить требования к обработке персональных данных. Подробнее о нововведениях и реакции ИТ-компаний — под катом.
/ фото Stock Catalog CC
Что такое GDPR
General Data Protection Regulation — это регламент защиты данных, который призван ужесточить в том числе и регулирование сферы ПД в рамках ЕС. Оно вступит в силу 25 мая 2018 года и заменит собой Data Protection Directive — директиву, принятую в 1995 году.
GDPR коснется любых компаний и организаций, так или иначе обрабатывающих ПД граждан ЕС (в том числе и американских ИТ-корпораций). Исходя из этой ситуации, Министерство торговли США еще в июле 2016 года разработало механизм EU-US Privacy Shield (защита ПД в рамках сотрудничества США и ЕС). Его задача — помочь американским компаниям привести свою деятельность на территории ЕС в соответствие с локальными директивами о работе с ПД. В октябре 2017 года EU-US Privacy Shield был одобрен самим ЕС, и им заинтересовались более 2000 компаний, в том числе Google, Microsoft и Facebook. Однако европейские наблюдатели неоднократно критиковали этот механизм за недостаточную жесткость в регулировании работы с ПД.
Как работает GDPR
Регламент обязателен к исполнению. Штрафы в случае несоблюдения — до 20 млн евро или 4% годового оборота компании, который будут определять на основе выручки не только в ЕС, но и по всему миру. Регулятор намеревается применять достаточно общие положения регламента в интересах жителей ЕС — компании скорее всего не смогут найти здесь какие-либо лазейки. Например, ответственность распространяется на любую организацию со штатом свыше 250 человек, но и не исключает компании с меньшим числом сотрудников, если деятельность бизнеса представляет риск для прав и свобод граждан ЕС. Такая формулировка потенциально затрагивает любую компанию.
Закон выделяет две категории организаций: операторы данных (data controllers) и обработчики данных (data processors). Операторы — это компании, которые осуществляют хранение ПД. Обработчики — это любые компании, которые эти данные используют. Регламент возлагает одинаковую ответственность на обе категории. Если фирма использует сторонний сервис, не отвечающий требованиям GDPR, она автоматически не соблюдает требования регламента. Таким образом, ввод нового регулирования будет означать пересмотр взаимоотношений бизнеса с облачными провайдерами, SaaS-стартапами и платежными организациями.
Исследование PwC показало серьезное отношение американских компаний к GDPR — 68% компаний планируют потратить от 1 до 10 млн долларов на выполнение новых требований, а 9% организаций — больше 10 млн долларов. По данным отчета Ovum, две трети американских компаний считают, что новый регламент заставит их пересмотреть свою стратегию работы в ЕС. При этом большинство американских компаний говорят, что европейские бизнесы получают конкурентное преимущество, а американцы будут оштрафованы. Консалтинг-агентство Oliver Wyman прогнозирует, что ЕС может собрать не менее 6 млрд долларов в виде штрафов за первый год с момента ввода нового регламента.
Реакция Google на GDPR
Новое регламент вынудил Google внести коррективы в работу практически всех своих сервисов. Например, для AdWords и Google Analytics были обновлены пользовательские соглашения, предупреждающие о требованиях GDPR.
В случаях, где Google и компания-клиент, использующая его приложения, выступают в роли независимых друг от друга операторов данных, Google обновит текущие соглашения, а также введет новые, так называемые «межоператорные» соглашения (controller-contoller terms). Суть этих межоператорных соглашений сводится к тому, что оба оператора (Google и компания-клиент) каждый по-своему усмотрению распоряжаются ПД в рамках, удовлетворяющих требованиям GDPR.
По мнению PageFair, подобное соглашение чревато для компаний, пользующихся сервисами Google. Ведь в данном случае ИТ-гигант может получить доступ к ПД, которые собирает компания-клиент. В таком случае компания-клиент не сможет уведомить своих пользователей о том, как именно будут использоваться их ПД. Учитывая, что GDPR распределяет ответственность между всеми обработчиками информации, другие обработчики рискуют нарушить договор, если Google злоупотребит своим положением.
Также для удовлетворения требований GDPR Google запустит сервис неперсонализированной рекламы. Пользуясь таким сервисом, клиенты смогут рекламировать продукцию не прибегая к сбору ПД своих пользователей.
Реакция Facebook на GDPR
На своем сайте Facebook заявил о ведущейся работе по удовлетворению требований GDPR. Компания расширила отдел защиты данных в Дублине, а также сделала его главным по координации всех усилий в этом направлении. Например, в конце марта Facebook закрыла «партнерские категории» (Partner Categories). Они позволяли рекламодателям площадки использовать ПД, собранные крупными сторонними операторами Datalogix, Epsilon, Acxiom и BlueKai.
Однако до сих пор неясно планирует ли Facebook выполнять требования GDPR глобально или постарается соблюсти требования исключительно в европейском сегменте. На прошлой неделе Марк Цукеберг в телефонном интервью Reuters отказался от повсеместного внедрения изменений в платформу и отметил, что компания работает над тем, чтобы часть требований GDPR работала в мировом масштабе, но отказался комментировать, о какой именно части идет речь.
В открытом письме Цукербергу ряд американских и европейских организаций по защите прав потребителей потребовали от компании «подтвердить согласие с требованиями GDPR на глобальном уровне, а также предоставить детальный план проводимых в связи с этим мероприятий». На данный момент официального ответа от Facebook не поступило.
Больше материалов в Первом блоге о корпоративном IaaS:
- Защита персональных данных: европейский подход
- Тестирование безопасности облака: устранение security-проблем
- Особенности размещения государственных информационных систем в облаке
- Правовые вопросы использования облачных технологий финансовыми организациями
- Облачная ИТ-инфраструктура в реализации международных проектов