Евросоюз ужесточает требования к защите персональной информации

    Согласно заявлению комиссара ЕС по вопросам юстиции Вивианы Рединг (Viviane Reding), 25 января европейское правительство будет пересматривать устаревшее законодательство 1995 года о защите персональных данных.

    Новый закон станет обязательным для всех компаний, ведущих деятельность на территории ЕС, включая Twitter, Facebook и Google.

    В будущем законе есть три очень важных момента:
    1. Компании будут обязаны сообщать о факте утечки персональных данных в течение 24 часов с момента ее обнаружения
    2. У любого человека будет возможность потребовать удалить все данные о себе, а также выяснить с какой целью, и какие именно данные о нем собирает компания
    3. Сумма штрафов за нарушение закона компанией может составить несколько процентов от ее годового заработка (для крупных компаний это десятки миллионов долларов)
    Поправки в закон были разработаны, чтобы не допустить повторения случаев, подобных тем, что произошли с Sony или Citigroup. Очевидно, что Facebook'у так же придется полностью пересмотреть свою политику в области персональных данных.

    на фото: Вивиана Рединг показывает, сколько штрафов заплатят компании, которые не берегут персональные данные пользователей
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 56

      –6
      Похоже на желание отстегнуть пару процентов от самых крупных корпораций мира и пополнить, так сказать, бюджет Евросоюза.
        –2
        Деньги не пахнут.
          +12
          Два известных интернет-магазина слили мои данные спамерам, теперь мне приходят очень правдоподобные фишинговые письма как бы от Visa и ещё пары компаний, услугами которых я пользуюсь. Первый раз чуть не попался, но каждый раз пугаюсь — письма очень похожи на настоящие. Один магазин точно знает об утечке, но не соизволил оповестить клиентов, другой делает вид, что ничего не случилось. Да и оповещение мало что даст людям, которым на единственное мыло приходят фишинговые письма, которые практически не отлить от настоящих.
          Лучше бы приняли закон, по которому можно было штрафовать компании в пользу пострадавших клиентов.
            0
            аналогичная ситуация. только с той разницей, что мне постоянно приходят приглашения на какие-то странные мероприятия (платные, естественно) больше подходящие для менеджера по персоналу, чем для специалиста по ИБ. хотя доподлинно известно, что лично я никаким похожим конторам свои контактные данные не давала
              0
              Мне приходит именно фишинг.
          0
          Так и есть.
          –7
          на фото: Вивиана Рединг показывает, сколько штрафов заплатят компании, которые не берегут персональные данные пользователей


          Что-то я не до понял, если компания не буду брать данные с пользователь тогда она получу большой штраф?
          Закон ведь про защиту авторских прав.
          +14
          У любого человека будет возможность потребовать удалить все данные о себе, а также выяснить с какой целью, и какие именно данные о нем собирает компания

          Ну вот, у нас не прокатит, у нас сильная фрагментация.
            +7
            У нас уже по ФЗ-152 любой человек вправе:
            1. обратиться в организацию с запросом сведений, какие его персональные данные, для чего, как долго и т.п. обрабатываются?
            2. отозвать свое согласие на обработку персональных данных (если ранее его давал);
            3. защищать свои права, в том числе в случаях незаконной обработки его персональных данных.

            Но есть с дюжину случаев, когда согласие не требуется (например, выполнение требований закона, обеспечение безопасности и т.д.).

            Фрагментация, сложность удаления — это проблемы организации. Сказали «удалить», значит надо удалить.
              0
              Прошу прощения, под «у нас» — имел в виду Россию :)
              • НЛО прилетело и опубликовало эту надпись здесь
              –1
              Google? Вы имеете в виду поиск? Я смогу потребовать у Google всю информацию о себе, которую их паук нашел во всемирной паутине? И могу потребовать удалить её? Интересно.
              Или же поисковики под закон не попадают.
                +2
                Даже если и попадают — ну удалит поисковик из выдачи всю инфу и ссылки на вас, но на самих сайтах-то она останется.

                Скорее, речь про соцсети и почтовики. В основном.
                  +4
                  Я думаю, имеется ввиду та информация, которую вы сами так или иначе сообщили при работе с сайтом компании. Например, анкета в соц. сети или личные сообщения.

                  Когда закон выйдет, там будет точно расписано.
                    –2
                    Да ничего там не будет точно расписано. Будут витиеватые рассуждения и какая-то очередная «идеальная модель мира».
                    +3
                    Речь скорее о Google+.
                    • НЛО прилетело и опубликовало эту надпись здесь
                        0
                        Ну не гуглом же единым :)
                        Да и не из целей анонимности есть желание данные убирать, а из-за не актуальности более.
                        • НЛО прилетело и опубликовало эту надпись здесь
                      +12
                      При граммотной реализации этот закон был бы очень полезен, а то мало добросовестных компаний, которые трут наши данные по требованию.
                        +1
                        Наши данные мы разбрасываем сами в огромном количестве.
                          +1
                          > граммотной

                          ÷0
                          • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            Интересно, а работник сможет потребовать удалить о себе все персональные данные? Заметим, копия трудового договора у него на руках, а значит, требовать зп и т.д. он будет иметь право продолжать.

                            А преступник может потребовать у полиции удалить все персональные данные о себе?
                              +2
                              Когда полиция станет частной компанией — наверное сможет. Пока что речь там идет вроде бы не об органах гос. власти.
                              Насчет работы и работника — я думаю что там очень легко и просто в договор вписывается пункт о том, что пока работник работает — компания может хранить его персональные данные. После расторжения договора — требуй удаления.
                                0
                                Если подходить формально (а формализм у евробюрократов в почете), то дифференцирование применения законов по форме собственности (а гос. структуры от коммерческих именно этим и отличаются) недопустимо :) Так, что да, полиция тоже подпадает :)
                                  +2
                                  Нет. Вы путаете гос. организации и органы власти. Государственный завод и частный завод — это одно и тоже. А вот ЧОП и полиция — это две совершенно разные вещи.
                                  –1
                                  Ага, а потом пенсионному работнику приспичит от тебя справка со старого места работы для подтверждения стажа.
                                  — Не, нету! — заявить с абсолютно честной физиономией компания. — Даже если и работал — ничем не можем помочь — по требованию работников после увольнения стираем всю инфу о нём!
                                    +1
                                    Пардон, но вы претензию не по адресу отправили. Это amarao предлагал удалять свои данные из БД работодателя.
                                    Да и вообще-то пенсионный фонд должны волновать мои пенсионные отчисления, а не мой стаж, это раз. Данные о моем стаже могут храниться под именем работник №хххххххх, без указания персональных данных. А уже у меня должна быть бумажка, в которой указано что я тот самый номер, что и в БД (например это может быть указано в копии трудового договора)
                                  0
                                  Но есть с дюжину случаев, когда согласие не требуется (например, выполнение требований закона, обеспечение безопасности и т.д.).

                                  Наверняка у них также. Говорят наш 152-ФЗ переписан с европейских.
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                    +1
                                    > ведущих деятельность на территории ЕС, включая Twitter,

                                    Я думал что twitter ведет деятельность на территории US, а весь мир ходит к ним (как бы в гости), в этом случае получается что пользователи и сам twitter находятся на территории US, а значит и закон там US, и данный закон не «может их штрафовать».
                                    Конечно они могут у себя «забанить» сайт, но это, вроде, нарушение о свободе…
                                      0
                                      Глядишь и компании потянутся к решению подобных проблем. А то пишешь им письма, тратишь свое время, доказывая, что имел место человеческий фактор и у тебя в доступе не только твои данные, а судя по количеству и данные всего региона. А в ответ получаешь «отворот-поворот» в другую службу с намеком на то, что мы за это не отвечаем обратитесь в другой отдел, и так по кругу, а эффекта ноль
                                        +6
                                        Мы не храним данные у себя. На их предоставляем наша дочерняя компания «Фейсфейл» у которой годовой доход 10 долларов. С нас бакс. С ув. Марк
                                          –10
                                          Если наши дурачки из Думы в очередной раз примкнут к этому идиотизму (вероятность чего ~100%) это будет п#ц с точки зрения информационной безопасности.
                                            +3
                                            Хотелось бы услышать более весомые аргументы от Вас
                                              –1
                                              Какие именно аргументы вам нужны?
                                              О том, что европейская модель защиты персональных данных не применима к реальной жизни?
                                              О том, что Россия давно подписала конвенцию Совета Европы о защите ПДн? А раз она её подписала, то автоматически будет двигать свое законодательство в том же русле, что и европейское.
                                              Собственно, все современные потуги в области регулирования защиты ПДн в нашем современном законодательстве полны инфантильного и оторванного от реалий идиотизма.
                                                +3
                                                О том, что европейская модель защиты персональных данных не применима к реальной жизни?

                                                У них базу с паспортными данными тоже на каждом углу можно купить?
                                                  –1
                                                  Во-первых у нас «на каждом углу» их тоже не купишь. Да и актуальность этих баз разговор отдельной темы.

                                                  Во-вторых, если бы вы внимательно следили за новостями в области защиты ПДн, то обратили бы внимание, что «сливы ПДн» в Европе происходят не реже, чем где-либо еще в мире.

                                                  В-третьих, я бы вам рекомендовал ознакомится с законодательством в области защиты ПДн, чтобы понять, почему требования и положения Закона и подзаконных актов не осуществимы в принципе.
                                                    –1
                                                    у нас «на каждом углу» их тоже не купишь.


                                                    Вот тут вы, к сожалению, ошибаетесь. По крайней мере, в Питере купить такую базу — не проблема. Про актуальность не знаю.

                                                    Можете, если это не займет много времени и возможно, объяснить почему, например, требование от фэйсбука полностью удалить мою анкету и мои сообщения было бы неосуществимо? Спасибо.
                                                      0
                                                      Ну вот, в качестве эксперимента, купите и проверьте, а потом напишите тут, если не сложно.

                                                      Касательно фейсбука. Там как раз американская модель. В двух словах её расписывать сложно, поэтому рекомендую элементарно погуглить. Но фейсбук никаких законов по крайней мере законодательства США не нарушает.

                                                      По поводу вконтакте у меня было небольшое расследование на эту тему. В принципе воз и ныне там.
                                                        +3
                                                        Да что там про «купить на углу». Если вы счастливый обладатель редкого сочетания ФИО (в духе Герасимова Ефросинья Варфоломеевна или там Камедижанов Алимжан Абдульбярович [ФИО выдуманы]), то найти вашу прописку, домашний телефон, марки машин, информацию про мобильные номера и другую интересную информацию в интернете, даже если Вы её там никогда не указывали, особого труда не составляет. Пусть зачастую информация будет на 4-5 лет устаревшая, но, всё-таки, немногие каждый год переезжают в новую квартиру, меняют номер телефона и т.д.
                                                        Да, найти Иванова Иван Ивановича сильно сложнее, однако, было бы желание.
                                                        Самое печальное, что подобные сайты появляются постоянно, как грибы после дождя. Одни закрываются, открываются новые и бороться с ними по этой причине бесполезно (я пробовал, т.к. находил на себе _достоверные_ и _актуальные_ данные в открытом доступе, хотя я нигде и никогда не указывал их в интернетах).
                                                        Мне всегда хотелось узнать, кто должен отвечать за подобный беспредел и кто должен пресекать подобную деятельность на корню.
                                                +1
                                                В качестве аргумента могу предложить ознакомиться с хронологией принятия поправок в ФЗ-152 в июне-июле 2011 г. (например, у Лукацкого, Волкова, Бонадренко). Очень занимательно.

                                                Отчасти соглашусь с Chumicheff — ИМХО, если наши законодатели решат такое принять, то, чтобы органично все это вписать в существующие документы потребуется либо повернуть все задом наперед (и сделать нормальные документы, ориентированные на защиту интересов субъектов ПДн), либо нагородить еще больше барьеров с косяками и подпорками, создающие еще больше кормушек для регулирующих органов.
                                                  –1
                                                  Если бы только регулирующих органов. Лазейки в ФЗ и его подзаконных создают новое оружие в корпоративных войнах и недобросовестной конкуренции.
                                                    0
                                                    Не думаю, что там так много возможностей… «ЗаДоСить» запросами от субъектов с принятием поправок стало проблематично, а «наведение» проверяющих на конкурента «лечится» защитой ПДн хотя бы по формальному признаку. Что-то упустил?

                                                    Другое дело, что все это дорого и, порой, неэффективно…
                                                      0
                                                      Так, например, потенциальная угроза может исходить от недовольных бывших или действительных работников самой компании, которые могут пожаловаться в трудовую инспекцию на нарушения ст. 85–90 Трудового кодекса РФ о защите персональных данных. В итоге компанию могут оштрафовать по ст. 5.27 КоАП РФ на сумму до 50 тыс. руб. либо приостановить ее деятельность на срок до 90 суток, а в случае повторного нарушения гендиректора компании могут дисквалифицировать на срок до трех лет.

                                                      Также возможна административная ответственность по ст. 5.39 и 13.14 КоАП РФ. Наибольшее опасение у операторов вызывает ст. 13.12 Кодекса — «Нарушение правил защиты информации», предусматривающая в качестве меры ответственности в том числе административное приостановление деятельности на срок до 90 суток.


                                                      Подводные камни Закона о ПДн
                                                        +1
                                                        Ну, если рассматривать это с позиции компании, которая привела свои процессы в соответствие требованиям законодательства по ПДн и решила этим воспользоваться для устранения конкурентов, которые не спешат… Тогда возможно.

                                                        Просто, как мне представляется, там будет следующая последовательность: «донос» — проверка — предписание на устранение нарушений — штраф (?) — контроль выполнения предписания, и только потом, если не чешутся, может уже быть что-то серьезное.

                                                        «Приостановки деятельности» часто можно видеть в презентациях интеграторов, однако мне как-то не попадались в интернете реальные случаи применения такой меры… Когда читаешь описания услуг по защите ПДн, в голове рисуется страшная картина — карательные отряды проверяющих ходят по стране, оставляя за собой уничтоженные и разоренные организации… :)
                                                          0
                                                          Про услуги полностью с вами согласен :)

                                              +3
                                              А персональные данные в гос.органах? А утечка из них? Какой штраф?
                                                +1
                                                Наконец же!
                                                  +1
                                                  Ладно крупные конторы, но на очень многих сайтах стоят стандартные, всем известные, движки интернет-магазинов. Найдется дыра в таких движке — кто отвечать будет? С одной стороны, автор кода, с другой — админ(ы) хостера, не настроившего права, с третьей — сам владелец сайта.

                                                  Дело денежное, посему отмазываться будут до последнего, кивая вдруг на друга:
                                                  — магазин не захотел нанимать программиста для анализа кода (да даже если и нанял — уровень анализа мог быть слабоват; и кто тут окажется виноват?),
                                                  — автор кода прямо говорит, что в лицензии прописан отказ от гарантий,
                                                  — хостеры вообще условия настройки сервера на своем сайте написали (а потом задним числом и исправили, еще), да и в каком-нибудь phpinfo(); вся эта инфа выводится…

                                                  Вот только не нашлось никого, кто бы убедился в работе и безопасности конечного продукта — не движка, а именно магазина. Это уже не говоря о защите данных в той же 1с-ке этого магазина — приходящий 1с-ник может взять базу домой на «попробовать», а там у него ее своровали, и опять непонятно кто виноват. Вроде как владелец магазина (он дал доступ), но он при этом должен быть неслабым спецом в ИТ, что в отношении владельцев магазинов не всегда выполняется.

                                                  Получаем: персональные данные утекли потому, что у кого-то не хватило знаний, опыта, понимания работы интернета. И что с того, что владелец должен будет в 24 часа оповестить об утечке, если он эту утечку даже не знает, как обнаружить?

                                                  P.S. Есть, конечно, некий эффект, что об утечках хоть из-под палки, а думать станут. Приподнимутся аутсорсеры, берущие на себя анализ безопасности, чуть лучше станет с предотвращением утечек. Но, пусть данные станет и труднее уворовать, все равно, не через месяц, так через два-три после их изменения, а я опять смогу найти в инете о себе кучу сведений, не совсем чтобы публичных. Потому что куш хорош, что придает ворам ПД силы и мотивацию, а защитники, чтобы прикрыть себе одно место, дальше предписанного инструкциями в защите заходить не станут. Так они хоть на суде отболтаться смогут, что сделали все «как было положено».
                                                    0
                                                    В наше время, когда взлавымывают официальный сайт Линукса с дистрибутивами и меняют исходники, гарантировать безопасность данных неможет никто.
                                                    Когда антивирусы в лицензионном соглашении не гарантируют безопасность, когда Windows не гарантирует сохранность данных, когда взламывают системы безопасности банков и уводят оттуда деньги, не то, чтобы какие-то персональные данные, о каких гарантиях сохранности персональных данных можно говорить?
                                                      0
                                                      Вот здесь собраны более детальны будущие изменения:
                                                      What will be the key changes?
                                                      ec.europa.eu/justice/data-protection/document/review2012/factsheets/1_en.pdf

                                                      здесь сам пресс-релиз и сопутствующие материалы: ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm
                                                        0
                                                        Молодцы. Монополистам давно уже по зубам надо дать. Они от безнаказаннсти вообще подурели.
                                                        Вон гугл со своей политикой, ему давно уже говорили Goole don't be evil!
                                                        Да кто там слушает.

                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                        Самое читаемое