«GDPR 2.0»: чего ждать от ePrivacy Regulation

    В нашем блоге мы уже рассказывали об обработке персональных данных в Беларуси, регулировании в США и Европе. Обсудим еще один европейский законопроект, который будет своеобразным дополнением к GDPR и ужесточит правила работы с cookies и ПД.


    / Flickr / robmadeo / CC BY

    Происхождение и цели ePrivacy Regulation


    Сейчас в Европе (помимо GDPR) за описание механизмов работы с персональными данными пользователей «отвечает» директива ePrivacy Directive (PDF), которую приняли в 2002 году. Именно из-за неё владельцы сайтов начали запрашивать у посетителей согласие на использование cookie-файлов. Однако эта директива представляет собой лишь набор базовых правил, которые государства-члены ЕС могут модифицировать на свое усмотрение. Так сделали, к примеру, в Италии, изменив штрафы за утаивание утечек данных (национальный декрет Legislative Decree no. 69/2012, PDF).

    Однако в Европарламенте решили внести корректировки в текущее положение вещей и сделать требования ePrivacy Directive едиными и непреложными для стран ЕС. По этой причине и появился проект ePrivacy Regulation.

    Новый законопроект призван дополнить и укрепить требования, сформированные GDPR. При этом главная цель ePrivacy Regulation, по словам парламентариев, — защитить пользователей ИТ-сервисов от спама и навязчивой рекламы и укрепить их контроль над персональными данными (это прописано в главе второй, статьях №6–11).

    Ранее ePrivacy Directive регулировал работу только телекоммуникационных операторов. Закон запрещал им выполнять какие-либо действия (запись, хранение, мониторинг) с телефонными разговорами и SMS-сообщениями без ведома и согласия клиентов. То теперь действие нового регламента решили распространить на приложения для коммуникации в интернете: мессенджеры, видеосвязь, электронную почту, IP-телефонию, IoT-гаджеты и др. (полный список указан в статье №4 законопроекта).

    ePrivacy Regulation планировали «запустить» одновременно с GDPR — 25 мая 2018. Однако из-за разногласий внутри парламента и отрицательной реакции ИТ-сообщества (об этом подробнее расскажем дальше) голосование отложили до 2019 года.

    Что гласит регламент


    Регламент в очередной раз поднимает вопрос регулирования сookies и формирует требования к получению согласия на их обработку. По тексту документа, сookies могут быть обработаны и без ведома пользователя, но только если этот процесс обусловлен технической необходимостью для предоставления того или иного сервиса. Согласие пользователь должен будет давать для конкретных целей, а его отсутствие не должно влиять на качество или возможность предоставления услуги. То есть владелец ресурса обязан предоставить альтернативный вариант использования сервиса без cookies. При этом всю собираемую с помощью cookies информацию разрешено хранить лишь до тех пор, пока она нужна для работы сервиса.

    Несмотря на то что работа с cookies является одной из главных тем законопроекта, в нем затрагиваются и другие аспекты, имеющие отношение к обработке персональных данных пользователей в сети. В частности, изменения коснулись IoT-индустрии. Согласно новому закону, передача данных от одного умного устройства к другому потребует пользовательского согласия. Это означает, что и поставщикам решений для умного дома, осуществляющих их постоянную поддержку на уровне экосистемы тематических устройств и приложений, придется получать согласие на передачу и обработку персональных данных.

    При этом ePrivacy описывает ограничения для проведения прямых маркетинговых кампаний. Регламент обяжет рекламодателей раскрывать свои номера телефонов и использовать специальные префиксы, позволяющие идентифицировать рекламный звонок. В настоящее время эта информация почти всегда остается скрытой. При этом накладывается строгий запрет на спам — если пользователь не желает получать маркетинговые звонки или письма, то он должен быть внесен компанией в отдельный список (do-not-call list).


    / Flickr / Carsten Schertzer / CC BY

    ePrivacy Regulation, как и GDPR, охватывает все организации, которые работают с данными резидентов стран ЕС, независимо от местоположения самой компании (статья №3 законопроекта). Максимальный штраф за нарушение норм ePrivacy Regulation составит от двух до четырех процентов годового дохода провинившейся компании или десять миллионов евро (статья №23 законопроекта).

    Как «встретили» ePrivacy Regulation


    В целом новый законопроект встретили довольно негативно. Связано это с опасениями тех компаний, на деятельность которых закон повлияет в первую очередь. Пока такое влияние оценивают исключительно на уровне прогнозов и исследований.

    «Новый регламент «ударит» по рекламному, маркетинговому и медиабизнесу, — делится мнением начальник отдела развития сервиса аренды инфраструктуры в облаке 1cloud.ru Сергей Белкин. — Многим компаниям также придется переосмыслить ряд основных бизнес-процессов — так как, по сути, работа с cookies будет зарегулирована еще в большей степени по сравнению с ситуацией после ввода GDPR».

    Исследование Developers Alliance, в который входит 70 тысяч программистов и представителей software-компаний, говорит, что ePrivacy повлияет не только на ИТ-сектор, но сократит доходы всего европейского бизнеса на 30%. По предварительным оценкам, предприятия потеряют 500 миллиардов евро. Группа энтузиастов даже записала видео, в котором показала негативную сторону ИТ-мира без cookies и рекламы.

    В ответ на подобные аргументы депутаты Европарламента напоминают, что новый закон создают для защиты прав граждан, а не развития интернет-бизнесов. Биргит Зиппель (Birgit Sippel), депутат Европарламента от Германии, отметила, что цель ePrivacy — вернуть людям контроль над персональными данными. Задача законопроекта — показать, что конфиденциальность данных в цифровую эпоху нужна и возможна.

    Отметим, что не все парламентарии согласны с Зиппель. Дэниэл Далтон (Daniel Dalton), выступающий в Европарламенте от Британии, заявил, что ePrivacy превратит Европу в «цифровое болото». Все представители компаний, с которыми говорил Далтон (от Microsoft и Google до небольших стартапов), выступают против ePrivacy.

    Пока неизвестно, какая судьба ждет новый регламент (будут ли в него внесены какие-либо серьёзные изменения). Развязка наступит в 2019 году. Однако можно предположить, что «борьба» за принятие ePrivacy Regulation будет серьезной, возможно, сравнимой с той, которая развернулась вокруг GDPR.

    P.S. Свежие материалы по теме из нашего корпоративного блога:

    1cloud.ru
    248,00
    IaaS, VPS, VDS, Частное и публичное облако, SSL
    Поделиться публикацией

    Комментарии 14

      0
      владелец ресурса обязан предоставить альтернативный вариант использования сервиса без cookies
      Т.е. если сервис платный и для учета используются куки — это означает, что обязательно должна быть бесплатная версия без кук?
      Сказать «не хотите куки — фиг вам контент/услуги/прочее» уже нельзя будет — я правильно понимаю?
        0
        Нет:
        По тексту документа, сookies могут быть обработаны и без ведома пользователя, но только если этот процесс обусловлен технической необходимостью для предоставления того или иного сервиса.

        Авторизация является вполне технической необходимостью.
          0
          Нет. Должен быть вариант платного сервиса без Кук. Дело не в платности/бесплатности, а в самих cookies. Но, если вы технически не можете оказывать услугу (в вашем примере — идентификация пользователя) без использования cookie — вы обязаны уничтожать эти идентификаторы после завершения сессии.
          Т.е. вы не можете хранить идентификатор на компьютере после завершения сессии, если не получили на это согласие пользователя.

          Сей час ситуация мягче: вы декларативно заявляете что «вот эта cookie» нам нужна, иначе никак. Согласны — вперёд. Не согласны — выход там.

          С вступлением поправок в силу, вы не сможете уже говорить про выход, вы будете обязаны предоставить альтернативу. Или доказать, что без хранения идентификатора ну никак не получится идентифицировать пользователя.

          Но, нужно понимать что в серьез обсуждать что либо можно будет только после окончательного утверждения регламента.
          +1
          Исследование Developers Alliance, в который входит 70 тысяч программистов и представителей software-компаний, говорит, что ePrivacy повлияет не только на ИТ-сектор, но сократит доходы всего европейского бизнеса на 30%

          Это примерно как «исследование ассоциации пчеловодов показало, что повышение экспортных пошлин на мёд сократит доходы металлургического, банковского и угольного сектора экономики на 30%».
          Необходимость рекламы для бизнеса очевидна, но вот полезность и релевантность рекламы в тех объемах, в которых её сейчас генерирует веб, уже давно под вопросом. И вполне вероятно, что её резкое уменьшение, наоборот, значительно увеличит её эффективность. Особенно вкупе с более точным таргетированием, когда те пользователи, которые не хотят смотреть рекламу, и не будут её смотреть. А продавец, соответственно, не будет платить за дохлые показы.
            –2
            Тут тонкий момент. Персональные данные гражданина не являются его собственностью, как бы это не звучало. «Ваши» ФИО это ровно то, что прописано в официальных документах законным представителем гос-ва. Вы не можете самостоятельно, без участия гос-ва, поменять в них ни одной буквы.

            Фактически, граждане со всеми их «персональными» данными являются собственностью государства. Каждое государство заинтересовано в том, чтобы собирать с бизнесов за эксплуатацию своих людских ресурсов. Когда транснациональные бизнесы не хотят делиться по хорошему, гос-во начинает демонстрировать кто хозяин, вводя идиотское регулирование по защите пд, вплоть до «ни нам — ни вам». Сейчас это общая тенденция, с отличием только в лозунгах, не меняющих сути.
              +1
              граждане со всеми их «персональными» данными являются собственностью государства

              С этим хочется спорить. Что такое государство? Если отбросить всю шелуху, это одна из форм организации людей.
              Может ли государство быть собственником людей? Давайте заменим в формуле «государство» на «организацию людей», будет легче понять. Может ли организация людей быть собственником людей же? Может, если эта организация рабовладельческая. Но обязательно ли организация должна быть собственником людей? Нет.

              «Ваши» ФИО это ровно то, что прописано в официальных документах законным представителем гос-ва. Вы не можете самостоятельно, без участия гос-ва, поменять в них ни одной буквы.

              Не можете, но не потому что гос-во ваш собственник, а потому что в вашем гос-ве есть закон это запрещающий, а закон этот возник тоже не потому, что гос-во ваш собственник, а по другим причинам.
                +1

                То, о чем вы пишете, называется строй. Почему вы решили, что он обязательно должен быть рабовладельческим? При любом современном строе человек с рождения принадлежит гос-ву. Это называется гражданство. Гос-во есть форма эксплуатации. Оно контролирует все основные аспекты жизни своих граждан такие как место проживания, перемещение, занятость, семейное положение, и т.п. Гос-во решает жить вам или нет, а если жить, то где именно. Если вас не бьют палками каждый день, значит ли это, что вы свободны? Хотя бунтарей могут и палками или другой спец.техникой, что согласно законам является приемлемым.

                  0
                  При любом современном строе человек с рождения принадлежит гос-ву

                  Я никому не принадлежу. Государство меня, и не создавало, и не приобретало, каким образом оно получило право владения мной?
                  Даже мои дети, в создании которых я принимал участие, не моя частная собственность. Жена моя, с которой у нас есть пакт о ненападении, не моя частная собственность. Мы с ними состоим в маленькой организации под названием семья, со своими правилами (законами), но ни один из нас не является собственностью семьи. Наш автомобиль и недвижимость, являются собственностью семьи и даже несмотря на то, что они зарегестрированы в более большой организацией, под названием государство и эта регистрация обязательна, остаются нашей собственностью, но никаким образом не являются собственностью государства.
                  Из за того, что я регулярно выплачиваю большие суммы на содержание обоих организаций и искренне считаю, что обе эти организации принадлежат мне.
                  В любой момент у меня есть и право и возможность перейти в другую организацию или даже состоять параллельно в нескольких.

                  Гос-во есть форма эксплуатации

                  Смотря какое государство, но я хочу что бы мое государство было формой симбиоза между людьми.

                  Оно контролирует все основные аспекты жизни своих граждан такие как место проживания, перемещение, занятость, семейное положение, и т.п.

                  Меня никто не контролирует. Живу где хочу, делаю что хочу, женат на том на ком хочу и так далее. Мое гос-во ни разу не пыталось вмешаться.

                  Если вас не бьют палками каждый день, значит ли это, что вы свободны?

                  Нет связи, я свободен если могу в любое время сменить это государство.
                    +1
                    Государство меня, и не создавало, и не приобретало, каким образом оно получило право владения мной?

                    Я вас умоляю. Как говорил основоположник ленинизма: нельзя жить в обществе и быть свободным от общества. Ну или по простому: "корова — государственная, значит и теленок — государственный!" (простоквашино).


                    Меня никто не контролирует. Живу где хочу, делаю что хочу, женат на том на ком хочу и так далее. Мое гос-во ни разу не пыталось вмешаться.

                    У нас было как-то так: "в соответствии с семейным кодексом РФ ваше взаимное согласие дает мне право зарегистрировать ваш брак". Т.е. хотение было конечно необходимым, но явно не достаточным условием. Все самое интересное происходит формально на бумаге.


                    я свободен если могу в любое время сменить это государство.

                    С правом на работу или без?)

                      +1
                      нельзя жить в обществе и быть свободным от общества.

                      Мы все связаны невидимыми нитями и зависим от друг друга, но мы не собственность общества.

                      «корова — государственная, значит и теленок — государственный!»

                      Но корова не государственная :)

                      У нас было как-то так

                      Это же не везде так. Есть места, где брак необязательно регистрировать.

                      С правом на работу или без?)

                      Я имею ввиду смену гражданства, со всеми правами. При чем проблемы получить гражданство в новом месте, в старом, иногда можно даже не уведомлять. Если бы я был чьей то собственностью, с чего бы мне разрешили куда то уйти?
                        0
                        Если бы я был чьей то собственностью, с чего бы мне разрешили куда то уйти?
                        Для создания некоей видимости свободы государства иногда позволяют собственным гражданам становиться собственностью других государств, хотя и создают для этого большие взаимные проблемы. Ибо любому государству понятно, что если гражданин убежал от другого хозяина, то и нового хозяина этот хитрожопый субъект жаловать особо не будет. Но как только граждане начинают массово валить по причине например чрезмерной эксплуатации — хозян (гос-во) сразу опускает «железный занавес» на границе.
                      +1
                      Наш автомобиль и недвижимость, являются собственностью семьи и даже несмотря на то, что они зарегестрированы в более большой организацией, под названием государство и эта регистрация обязательна, остаются нашей собственностью, но никаким образом не являются собственностью государства.
                      Это до тех пор пока государство не решит ввести в вместе вашего проживания военное положение или какое-то еще там чрезвычайное и т.п. положение. И все, ваша собственность — уже не совсем ваша!
                0
                передача данных от одного умного устройства к другому потребует пользовательского согласия

                А вы говорили, что в беспилотном авто можно будет заскучать. А вот и нет, надо будет в реальном времени обработку cookies подтверждать между автомобилем и каждым датчиком в каждом знаке и разметке, чтобы авто не остановилось на обочине
                  +1
                  Мне что-то от такого сразу вспомнился south park, древняя серия (s11e5) про концептуальное моноколесное транспортное средство с очень странным методом управления (который, как оказалось, можно было не использовать).

                  В общем — а зачем?! Зачем машине общаться со знаком в две стороны? Зачем переусложнять? Тем-более зачем cookies? Знак же может просто пассивно, в коротком радиусе, используя всякие маложрущие технологии, вещать кодированную инфу о своем типе и на каком направлении движения он стоит, можно еще чексумму или подпись для защиты от подмены.

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое