В ЕС вступает в силу новый регламент защиты ПД

    В конце мая Европейский союз планирует ужесточить требования к обработке персональных данных. Подробнее о нововведениях и реакции ИТ-компаний — под катом.


    / фото Stock Catalog CC

    Что такое GDPR


    General Data Protection Regulation — это регламент защиты данных, который призван ужесточить в том числе и регулирование сферы ПД в рамках ЕС. Оно вступит в силу 25 мая 2018 года и заменит собой Data Protection Directive — директиву, принятую в 1995 году.

    GDPR коснется любых компаний и организаций, так или иначе обрабатывающих ПД граждан ЕС (в том числе и американских ИТ-корпораций). Исходя из этой ситуации, Министерство торговли США еще в июле 2016 года разработало механизм EU-US Privacy Shield (защита ПД в рамках сотрудничества США и ЕС). Его задача — помочь американским компаниям привести свою деятельность на территории ЕС в соответствие с локальными директивами о работе с ПД. В октябре 2017 года EU-US Privacy Shield был одобрен самим ЕС, и им заинтересовались более 2000 компаний, в том числе Google, Microsoft и Facebook. Однако европейские наблюдатели неоднократно критиковали этот механизм за недостаточную жесткость в регулировании работы с ПД.

    Как работает GDPR


    Регламент обязателен к исполнению. Штрафы в случае несоблюдения — до 20 млн евро или 4% годового оборота компании, который будут определять на основе выручки не только в ЕС, но и по всему миру. Регулятор намеревается применять достаточно общие положения регламента в интересах жителей ЕС — компании скорее всего не смогут найти здесь какие-либо лазейки. Например, ответственность распространяется на любую организацию со штатом свыше 250 человек, но и не исключает компании с меньшим числом сотрудников, если деятельность бизнеса представляет риск для прав и свобод граждан ЕС. Такая формулировка потенциально затрагивает любую компанию.

    Закон выделяет две категории организаций: операторы данных (data controllers) и обработчики данных (data processors). Операторы — это компании, которые осуществляют хранение ПД. Обработчики — это любые компании, которые эти данные используют. Регламент возлагает одинаковую ответственность на обе категории. Если фирма использует сторонний сервис, не отвечающий требованиям GDPR, она автоматически не соблюдает требования регламента. Таким образом, ввод нового регулирования будет означать пересмотр взаимоотношений бизнеса с облачными провайдерами, SaaS-стартапами и платежными организациями.

    Исследование PwC показало серьезное отношение американских компаний к GDPR — 68% компаний планируют потратить от 1 до 10 млн долларов на выполнение новых требований, а 9% организаций — больше 10 млн долларов. По данным отчета Ovum, две трети американских компаний считают, что новый регламент заставит их пересмотреть свою стратегию работы в ЕС. При этом большинство американских компаний говорят, что европейские бизнесы получают конкурентное преимущество, а американцы будут оштрафованы. Консалтинг-агентство Oliver Wyman прогнозирует, что ЕС может собрать не менее 6 млрд долларов в виде штрафов за первый год с момента ввода нового регламента.

    Реакция Google на GDPR



    Новое регламент вынудил Google внести коррективы в работу практически всех своих сервисов. Например, для AdWords и Google Analytics были обновлены пользовательские соглашения, предупреждающие о требованиях GDPR.

    В случаях, где Google и компания-клиент, использующая его приложения, выступают в роли независимых друг от друга операторов данных, Google обновит текущие соглашения, а также введет новые, так называемые «межоператорные» соглашения (controller-contoller terms). Суть этих межоператорных соглашений сводится к тому, что оба оператора (Google и компания-клиент) каждый по-своему усмотрению распоряжаются ПД в рамках, удовлетворяющих требованиям GDPR.

    По мнению PageFair, подобное соглашение чревато для компаний, пользующихся сервисами Google. Ведь в данном случае ИТ-гигант может получить доступ к ПД, которые собирает компания-клиент. В таком случае компания-клиент не сможет уведомить своих пользователей о том, как именно будут использоваться их ПД. Учитывая, что GDPR распределяет ответственность между всеми обработчиками информации, другие обработчики рискуют нарушить договор, если Google злоупотребит своим положением.

    Также для удовлетворения требований GDPR Google запустит сервис неперсонализированной рекламы. Пользуясь таким сервисом, клиенты смогут рекламировать продукцию не прибегая к сбору ПД своих пользователей.

    Реакция Facebook на GDPR




    На своем сайте Facebook заявил о ведущейся работе по удовлетворению требований GDPR. Компания расширила отдел защиты данных в Дублине, а также сделала его главным по координации всех усилий в этом направлении. Например, в конце марта Facebook закрыла «партнерские категории» (Partner Categories). Они позволяли рекламодателям площадки использовать ПД, собранные крупными сторонними операторами Datalogix, Epsilon, Acxiom и BlueKai.

    Однако до сих пор неясно планирует ли Facebook выполнять требования GDPR глобально или постарается соблюсти требования исключительно в европейском сегменте. На прошлой неделе Марк Цукеберг в телефонном интервью Reuters отказался от повсеместного внедрения изменений в платформу и отметил, что компания работает над тем, чтобы часть требований GDPR работала в мировом масштабе, но отказался комментировать, о какой именно части идет речь.

    В открытом письме Цукербергу ряд американских и европейских организаций по защите прав потребителей потребовали от компании «подтвердить согласие с требованиями GDPR на глобальном уровне, а также предоставить детальный план проводимых в связи с этим мероприятий». На данный момент официального ответа от Facebook не поступило.

    Больше материалов в Первом блоге о корпоративном IaaS:

    ИТ-ГРАД 459,18
    vmware iaas provider
    Поделиться публикацией
    Комментарии 32
    • +12
      И ни слова о самом GDPR кроме штрафов
      • +1

        Это замаскированная борба с p2p. Я вот здесь попытался человеческим языком суть передать.

        • +1

          Есть какой-нибудь чеклист внятный, который соблюдает и не попадаешь на штраф?

          • –2

            Скорее всего список драконовских мер, исключающий хранение персональных данных где бы то ни было кроме ЦОДов, типа: дорогие сейфовые двери, наличие сертифицированных антивирусов (это чтобы бэкдоры гарантированно стояли), использование сертифицированного ПО СУБД, использование сертифицированной криптозащиты, требования к пожаробезопасности, наличие сертифицированных брандмауэров. И самое главное: наличие какого-нибудь "Сертификата Комитета Неполживой Супернадёжной Безопасности".


            Вот и получится, что по закону персональные данные можно хранить только в ЦОДах уважаемых пацанов с мохнатой лапой и золотыми часами. По сути это тотальная узурпация всех персональных данных населения в одних руках.


            Пока телезритель следит за fire-шоу в Сирии и Донбассе и online-перебранкой п.резидентов, компетентные люди ходят по квартирам и вырезают неугодных.

            • +1
              Хрень какую-то написали. Наоборот теперь личные данные защищены от узурпаторов. Согласно этому закону Facebook должен все данные по первому запросу удалить забесплатно и при этом не имеет права сохранить shadow копии. Если они это сделают, они попадут на нереальный штраф и суд от Вас лично.

              Требований к физическому хранению данных нет, как таковых. Требование в описании всех и всяких использований этих данных. Следовательно нельзя просто сохранять все подряд, чтобы «потом разобраться». Тем более нельзя скрипты аналитики без описания у себя как они будут собирать данные. В общем всякое такое и тому подобное.

              Privacy policy обязана быть. С полным и точечным описанием использования данных. При этом она должна быть написана общеоборотным языком без legalese. Что значит нельзя делать сто разных референсов и мелкий текст внизу страницы, использовать юридические термины и тому подобному.

              Грубо говоря privacy policy сводится к «Мы получаем ваше имя, почту, телефон через форму для обработки заказа, ваши ip адрес для безопасности, email для проведения коммуникаций и данные вашего браузера для аналитики. Данные аналитики передаются третье-сторонней компании Кукл. Также мы делаем куки ибо это ключевая система создания сессии».
          • –1
            Но как это вообще связано с P2P?
            • –1

              Как связано? А очень просто. Теперь хранение "персональных данных" на домашних компьютерах становится незаконным, так как ни один домашний компьютер не соответствует куче требований, введённых законами ЕС, РФ и США. И не надо мне говорить, что хранение персональных в облаках — это "супернадёжно, суперудобно, супербезопасно" и так далее. Своему соседу Васе я доверяю больше, чем серверам Facebook, Microsoft или Vkontakte вместе взятым. А меня сейчас этой возможности лишают, и делают Васю, хранящего мой профиль и фото у себя на компе, штрафником и уголовником.

              • 0
                Странное заявление. Тогда СМС и записные книжки пойдут по тем же статьям.
                • 0
                  Хрень какую-то несете. Хранение своих данных вполне законно. Также GDPR не затрагивает мелкий бизнес чуть менее чем полностью.
                  • 0
                    Теперь хранение «персональных данных» на домашних компьютерах становится незаконным

                    А вы не храните перс данные, я не припомню, чтобы например торренты требовали у меня фамилию и анонсировали её по DHC.
                    • 0
                      Я думаю, robux имел в виду не файлообменники, a p2p-социальные сети типа Diaspora.
                      • 0
                        Diaspora — федеративная сеть, а я имел в виду именно p2p-сеть, например, мою Пандору.
                        Хотя частные федеративные сети (Диаспора, Mastodon и т.п.) тоже попадают «под раздачу» из-за этих законов.
                    • 0
                      В GDPR прямо сказано, что он не применяется к физическим лицам.
                      Впрочем, мне распределенные социальные сети никогда не казались хорошей идеей: вместо того, чтобы доверить информацию о себе одной компании, ты доверяешь ее неопределенному кругу нододержателей. При том и той самой злодейской корпорации эти данные тоже не составляет особого труда получить. Возможно, имела бы смысл социальная сеть, в которой данные пользователя хранятся только на его собственной машине, но чем больше я об этом думаю, тем больше мне кажется, что такая социальная сеть уже существует и называется World Wide Web.
                  • 0
                    Ничего вы не передали. Только картинки с намёками на конспирологию.
                    • 0

                      Всё я передал. Цитирую:


                      Процессоры данных (обработчики, хранители) – это организации, которые осуществляют ХРАНЕНИЕ ПД непосредственно на своих компьютерах. Они обязаны ограничить физический доступ к оборудованию, реализовать сценарии резервного копирования, настроить брандмауэры и соблюсти другие строгие требования.

                      В регламент внесено много новых требований, которые в большинстве случаев усложняют жизнь компаниям. Одним из таких изменений является, например, обязанность уведомлять специальные органы «Data Protection Authorities» (DPA) об утечке персональных данных в течение 72 часов.

                      .
                      И там даже ссылки указаны, откуда взяты эти сведения.

                      • 0
                        Да-да, а еще проиллюстрировали это картинкой, изображающей влияние ZOG. IT-аналитика высокого полёта, однако.
                • +1
                  А кто заплатит за фантазии чиновников?
                  • +1
                    В статье написано, кто. Сначала компании-агрегаторы, потом рекламодатели а потом — потребители продуктов рекламодателей.
                    Вообще всегда за любые фантазии чиновников/менеджеров платят одни и те же люди
                    • 0
                      А я всерьез надеюсь, что этот закон уменьшит аппетиты всех мелких и не очень контор до моих персональных данных. Если их сбор и хранение станет невыгодным занятием, то я только за. Понятно что оно может повернуться как угодно, но положительный аспект я такой вижу.
                      • 0
                        Мелкие конторы просто возложат ответственность за хранение ПД на компании, которые прошли сертификацию. Уйдут в какое-нить облако и все.
                        • 0
                          А я оптимист. (дальше мечты и надежда на человечество) Просто чтобы оперировать ПД в принципе придется проходить сертификацию. Соответственно сервисы должны переработать стратегию общения с пользователями, чтобы ПД у них не было (и досупа к ним тоже). Для платежей они уже не сильно нужны (ПД останутся в банках и третьим лицам не будут переданы), с почтой и доставкой что-нибудь придумают. Для всего остального они тоже часто принципиально не нужны. А то расплодилось тех же приложений, подавай им все права на смартфоне на каждый чих (до них тоже пусть доберутся и ручки поукоротят)
                          • 0
                            Вообще не надо «проходить сертификацию». Откуда эта инфа пошла?
                            Сертификация только для mid бизнеса и выше, а это 100+ работников и много миллионные обороты.
                            • 0
                              Так это самые опасные, хранящие много данных. Магазинчик аэродинамических кабелей для ПК знает только то, что я у него купил пару SATA кабелей, да адрес офиса выдачи службы доставки. Гугл же знает всё, кроме ччастоты почёсывания затылка при решении сложной задачи.
                              • 0
                                Ну так Гугл и не small бизнес. Им и надо сертифицироваться.
                            • +1
                              А я оптимист.

                              А я пессимист и вижу только централизацию всех данных в руках нескольких корпораций. Кто там согласен потратить миллионы на это? Гугл, фейсбук, твиттер.
                            • –1
                              Мелкие конторы не могут этого делать в принципе.

                              Для проведения какой-либо деятельности с целью получения выгоды в онлайн даже мелким компаниям надо удостовериться хотя бы в одном прямом контакте с пользователем. Адрес, IP адрес, телефон — что-либо. Так что маленькие компании обязаны GDPRиться и не могут свалить это на cloud вообще.
                              • 0
                                Они могут свалить на них часть задач потенциально. Судя по определениям, большинство компаний так или иначе попадает под определение контроллеров, если они просят у пользователей их личные данные. Видится как наиболее ответственная сторона в этой всей затее. Но так или иначе часть задач можно переложить на облако, которое станет процессором. Может хранить, обрабатывать, передавать третьей стороне, делать всякое непотребство, но по четким указаниям контроллера.
                                • 0
                                  Нет не надо. Мелкие конторы могут собирать и хранить данные необходимые для заказа по закону, без даже особого описания в privacy policy. Знаю, ибо владею конторой в ЕС.

                                  Если собираете больше, то пожалуйте под GDPR. Но 99.99% мелких контор не должны ничего по GDPR, кроме уведомления в случае обнаруженного взлома и проблем и удаления данных после периода аккаунтинга.
                                  • 0
                                    Т.е. вы хотите сказать, что информация из заказа такая как email адрес, адрес доставки, имя фамилия, телефон — это GDPR не покрывает? Что-то у вас противоречие получается и нивелирует всю GDPR затею, да еще и не соответствует тому, что пишут в интернете о GDPR. Онлайн магазин для заказа собирает личные данные, которые идентифицируют человека, т.е. попадает под определение контроллера, но ничего кроме обнаружения взлома не должна? По GDPR она там много чего должна, будучи контроллером. Как минимум, обеспечивать должную защиту информации. И в случае, если произойдет утечка, а должная защита отсутствовала, то придется платить за ущерб материальный или нет. Это я так бегло по GDPR вычитал. Кто его знает, сколько всего на самом деле предписывает этот акт. Поэтому логично как можно больше снять с себя — не заниматься защитой информационной, а отдать это на откуп другим. Тем же облакам. Azure вот уже в контракт добавил гарантии для GDPR.
                                    • 0
                                      Вот в том то и дело, что передавать куда-либо данные создает тучу проблем. Вот например наша полиси теперь.

                                      serverastra.com/billing/knowledgebase/15/ServerAstra-Privacy-Policy.html

                                      Касательно Azure персональными данными является также данные сервера клиента, его впс и т.п. и т.д. Так что Azure должны иметь гарантии GDPR, т.к. по сути они будут хранить персональные данные, например в случае, если Вы являетесь стартапом пользующимся Azure.

                                      Мы тоже работаем над добавлением записи о Storage Data, которое тоже может включать персональные данные, а соответственно подпадает под GDPR. Но опять же, нас это особо не касается. Мало что изменилось, только добавились подробности i.e. сколько храните данные, какие конкретно данные собираете, куда передаете, как обрабатываете, а также удаление данных (очень хитрый вопрос, ибо надо удалять и из бекапов!) и выкачка всех персональных данных (решается софтом).
                      • 0
                        Подскажите пожалуйста, если в РФ есть закон о хранении данных и в ЕС такой же, в US тоже думаю что есть. Все страны хотят хранить данные у себя в стране, то как хранить эти ПД? Спрашивать у юезров из какой они страны и иметь как минимум 3 базы данных — в РФ, в ЕС и US для хранения этих ПД?
                        • +1
                          152-ФЗ предписывает первичное хранение и обработку на территории РФ. При этом трансграничная передача разрешена. GDPR тоже разрешает трансграничную передачу данных граждан EU при соблюдении определенных условий. В принципе, облака все эти вопросы как раз и помогают решить. GDPR — это не только про место хранения. Вопрос намного шире — каковы мои права как субъекта перс. данных? GDPR как раз мне эти права и дает — право на осзнакомление, забвение, оповещение в случае утечки мои х данных и т.п.

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое