В конце мая Европейский союз планирует ужесточить требования к обработке персональных данных. Подробнее о нововведениях и реакции ИТ-компаний — под катом.


/ фото Stock Catalog CC

Что такое GDPR


General Data Protection Regulation — это регламент защиты данных, который призван ужесточить в том числе и регулирование сферы ПД в рамках ЕС. Оно вступит в силу 25 мая 2018 года и заменит собой Data Protection Directive — директиву, принятую в 1995 году.

GDPR коснется любых компаний и организаций, так или иначе обрабатывающих ПД граждан ЕС (в том числе и американских ИТ-корпораций). Исходя из этой ситуации, Министерство торговли США еще в июле 2016 года разработало механизм EU-US Privacy Shield (защита ПД в рамках сотрудничества США и ЕС). Его задача — помочь американским компаниям привести свою деятельность на территории ЕС в соответствие с локальными директивами о работе с ПД. В октябре 2017 года EU-US Privacy Shield был одобрен самим ЕС, и им заинтересовались более 2000 компаний, в том числе Google, Microsoft и Facebook. Однако европейские наблюдатели неоднократно критиковали этот механизм за недостаточную жесткость в регулировании работы с ПД.

Как работает GDPR


Регламент обязателен к исполнению. Штрафы в случае несоблюдения — до 20 млн евро или 4% годового оборота компании, который будут определять на основе выручки не только в ЕС, но и по всему миру. Регулятор намеревается применять достаточно общие положения регламента в интересах жителей ЕС — компании скорее всего не смогут найти здесь какие-либо лазейки. Например, ответственность распространяется на любую организацию со штатом свыше 250 человек, но и не исключает компании с меньшим числом сотрудников, если деятельность бизнеса представляет риск для прав и свобод граждан ЕС. Такая формулировка потенциально затрагивает любую компанию.

Закон выделяет две категории организаций: операторы данных (data controllers) и обработчики данных (data processors). Операторы — это компании, которые осуществляют хранение ПД. Обработчики — это любые компании, которые эти данные используют. Регламент возлагает одинаковую ответственность на обе категории. Если фирма использует сторонний сервис, не отвечающий требованиям GDPR, она автоматически не соблюдает требования регламента. Таким образом, ввод нового регулирования будет означать пересмотр взаимоотношений бизнеса с облачными провайдерами, SaaS-стартапами и платежными организациями.

Исследование PwC показало серьезное отношение американских компаний к GDPR — 68% компаний планируют потратить от 1 до 10 млн долларов на выполнение новых требований, а 9% организаций — больше 10 млн долларов. По данным отчета Ovum, две трети американских компаний считают, что новый регламент заставит их пересмотреть свою стратегию работы в ЕС. При этом большинство американских компаний говорят, что европейские бизнесы получают конкурентное преимущество, а американцы будут оштрафованы. Консалтинг-агентство Oliver Wyman прогнозирует, что ЕС может собрать не менее 6 млрд долларов в виде штрафов за первый год с момента ввода нового регламента.

Реакция Google на GDPR?


Новое регламент вынудил Google внести коррективы в работу практически всех своих сервисов. Например, для AdWords и Google Analytics были обновлены пользовательские соглашения, предупреждающие о требованиях GDPR.

В случаях, где Google и компания-клиент, использующая его приложения, выступают в роли независимых друг от друга операторов данных, Google обновит текущие соглашения, а также введет новые, так называемые «межоператорные» соглашения (controller-contoller terms). Суть этих межоператорных соглашений сводится к тому, что оба оператора (Google и компания-клиент) каждый по-своему усмотрению распоряжаются ПД в рамках, удовлетворяющих требованиям GDPR.

По мнению PageFair, подобное соглашение чревато для компаний, пользующихся сервисами Google. Ведь в данном случае ИТ-гигант может получить доступ к ПД, которые собирает компания-клиент. В таком случае компания-клиент не сможет уведомить своих пользователей о том, как именно будут использоваться их ПД. Учитывая, что GDPR распределяет ответственность между всеми обработчиками информации, другие обработчики рискуют нарушить договор, если Google злоупотребит своим положением.

Также для удовлетворения требований GDPR Google запустит сервис неперсонализированной рекламы. Пользуясь таким сервисом, клиенты смогут рекламировать продукцию не прибегая к сбору ПД своих пользователей.

Реакция Facebook на GDPR??


На своем сайте Facebook заявил о ведущейся работе по удовлетворению требований GDPR. Компания расширила отдел защиты данных в Дублине, а также сделала его главным по координации всех усилий в этом направлении. Например, в конце марта Facebook закрыла «партнерские категории» (Partner Categories). Они позволяли рекламодателям площадки использовать ПД, собранные крупными сторонними операторами Datalogix, Epsilon, Acxiom и BlueKai.

Однако до сих пор неясно планирует ли Facebook выполнять требования GDPR глобально или постарается соблюсти требования исключительно в европейском сегменте. На прошлой неделе Марк Цукеберг в телефонном интервью Reuters отказался от повсеместного внедрения изменений в платформу и отметил, что компания работает над тем, чтобы часть требований GDPR работала в мировом масштабе, но отказался комментировать, о какой именно части идет речь.

В открытом письме Цукербергу ряд американских и европейских организаций по защите прав потребителей потребовали от компании «подтвердить согласие с требованиями GDPR на глобальном уровне, а также предоставить детальный план проводимых в связи с этим мероприятий». На данный момент официального ответа от Facebook не поступило.

Больше материалов в Первом блоге о корпоративном IaaS:

Комментарии (32)


  1. alltiptop
    14.04.2018 22:36
    +8

    И ни слова о самом GDPR кроме штрафов


    1. robux
      15.04.2018 10:04

      Это замаскированная борба с p2p. Я вот здесь попытался человеческим языком суть передать.


      1. dali
        15.04.2018 10:30
        +1

        Есть какой-нибудь чеклист внятный, который соблюдает и не попадаешь на штраф?


        1. robux
          15.04.2018 15:17
          -2

          Скорее всего список драконовских мер, исключающий хранение персональных данных где бы то ни было кроме ЦОДов, типа: дорогие сейфовые двери, наличие сертифицированных антивирусов (это чтобы бэкдоры гарантированно стояли), использование сертифицированного ПО СУБД, использование сертифицированной криптозащиты, требования к пожаробезопасности, наличие сертифицированных брандмауэров. И самое главное: наличие какого-нибудь "Сертификата Комитета Неполживой Супернадёжной Безопасности".


          Вот и получится, что по закону персональные данные можно хранить только в ЦОДах уважаемых пацанов с мохнатой лапой и золотыми часами. По сути это тотальная узурпация всех персональных данных населения в одних руках.


          Пока телезритель следит за fire-шоу в Сирии и Донбассе и online-перебранкой п.резидентов, компетентные люди ходят по квартирам и вырезают неугодных.


          1. equand
            15.04.2018 18:44
            -1

            Хрень какую-то написали. Наоборот теперь личные данные защищены от узурпаторов. Согласно этому закону Facebook должен все данные по первому запросу удалить забесплатно и при этом не имеет права сохранить shadow копии. Если они это сделают, они попадут на нереальный штраф и суд от Вас лично.

            Требований к физическому хранению данных нет, как таковых. Требование в описании всех и всяких использований этих данных. Следовательно нельзя просто сохранять все подряд, чтобы «потом разобраться». Тем более нельзя скрипты аналитики без описания у себя как они будут собирать данные. В общем всякое такое и тому подобное.

            Privacy policy обязана быть. С полным и точечным описанием использования данных. При этом она должна быть написана общеоборотным языком без legalese. Что значит нельзя делать сто разных референсов и мелкий текст внизу страницы, использовать юридические термины и тому подобному.

            Грубо говоря privacy policy сводится к «Мы получаем ваше имя, почту, телефон через форму для обработки заказа, ваши ip адрес для безопасности, email для проведения коммуникаций и данные вашего браузера для аналитики. Данные аналитики передаются третье-сторонней компании Кукл. Также мы делаем куки ибо это ключевая система создания сессии».


      1. Goron_Dekar
        15.04.2018 11:52
        -1

        Но как это вообще связано с P2P?


        1. robux
          15.04.2018 15:00
          -1

          Как связано? А очень просто. Теперь хранение "персональных данных" на домашних компьютерах становится незаконным, так как ни один домашний компьютер не соответствует куче требований, введённых законами ЕС, РФ и США. И не надо мне говорить, что хранение персональных в облаках — это "супернадёжно, суперудобно, супербезопасно" и так далее. Своему соседу Васе я доверяю больше, чем серверам Facebook, Microsoft или Vkontakte вместе взятым. А меня сейчас этой возможности лишают, и делают Васю, хранящего мой профиль и фото у себя на компе, штрафником и уголовником.


          1. Ztare
            15.04.2018 15:15

            Странное заявление. Тогда СМС и записные книжки пойдут по тем же статьям.


          1. equand
            15.04.2018 18:47
            -1

            Хрень какую-то несете. Хранение своих данных вполне законно. Также GDPR не затрагивает мелкий бизнес чуть менее чем полностью.


          1. sumanai
            15.04.2018 20:53

            Теперь хранение «персональных данных» на домашних компьютерах становится незаконным

            А вы не храните перс данные, я не припомню, чтобы например торренты требовали у меня фамилию и анонсировали её по DHC.


            1. OYTIS
              16.04.2018 12:33

              Я думаю, robux имел в виду не файлообменники, a p2p-социальные сети типа Diaspora.


              1. robux
                16.04.2018 14:08

                Diaspora — федеративная сеть, а я имел в виду именно p2p-сеть, например, мою Пандору.
                Хотя частные федеративные сети (Диаспора, Mastodon и т.п.) тоже попадают «под раздачу» из-за этих законов.


          1. OYTIS
            16.04.2018 15:00

            В GDPR прямо сказано, что он не применяется к физическим лицам.
            Впрочем, мне распределенные социальные сети никогда не казались хорошей идеей: вместо того, чтобы доверить информацию о себе одной компании, ты доверяешь ее неопределенному кругу нододержателей. При том и той самой злодейской корпорации эти данные тоже не составляет особого труда получить. Возможно, имела бы смысл социальная сеть, в которой данные пользователя хранятся только на его собственной машине, но чем больше я об этом думаю, тем больше мне кажется, что такая социальная сеть уже существует и называется World Wide Web.


      1. DoctorMoriarty
        15.04.2018 14:20
        -1

        Ничего вы не передали. Только картинки с намёками на конспирологию.


        1. robux
          15.04.2018 14:53
          -1

          Всё я передал. Цитирую:


          Процессоры данных (обработчики, хранители) – это организации, которые осуществляют ХРАНЕНИЕ ПД непосредственно на своих компьютерах. Они обязаны ограничить физический доступ к оборудованию, реализовать сценарии резервного копирования, настроить брандмауэры и соблюсти другие строгие требования.

          В регламент внесено много новых требований, которые в большинстве случаев усложняют жизнь компаниям. Одним из таких изменений является, например, обязанность уведомлять специальные органы «Data Protection Authorities» (DPA) об утечке персональных данных в течение 72 часов.

          .
          И там даже ссылки указаны, откуда взяты эти сведения.


          1. DoctorMoriarty
            16.04.2018 17:45

            Да-да, а еще проиллюстрировали это картинкой, изображающей влияние ZOG. IT-аналитика высокого полёта, однако.


  1. Opaspap
    15.04.2018 07:37

    А кто заплатит за фантазии чиновников?


    1. Goron_Dekar
      15.04.2018 11:54

      В статье написано, кто. Сначала компании-агрегаторы, потом рекламодатели а потом — потребители продуктов рекламодателей.
      Вообще всегда за любые фантазии чиновников/менеджеров платят одни и те же люди


      1. Ztare
        15.04.2018 13:34

        А я всерьез надеюсь, что этот закон уменьшит аппетиты всех мелких и не очень контор до моих персональных данных. Если их сбор и хранение станет невыгодным занятием, то я только за. Понятно что оно может повернуться как угодно, но положительный аспект я такой вижу.


        1. creker
          15.04.2018 14:13

          Мелкие конторы просто возложат ответственность за хранение ПД на компании, которые прошли сертификацию. Уйдут в какое-нить облако и все.


          1. Ztare
            15.04.2018 14:31

            А я оптимист. (дальше мечты и надежда на человечество) Просто чтобы оперировать ПД в принципе придется проходить сертификацию. Соответственно сервисы должны переработать стратегию общения с пользователями, чтобы ПД у них не было (и досупа к ним тоже). Для платежей они уже не сильно нужны (ПД останутся в банках и третьим лицам не будут переданы), с почтой и доставкой что-нибудь придумают. Для всего остального они тоже часто принципиально не нужны. А то расплодилось тех же приложений, подавай им все права на смартфоне на каждый чих (до них тоже пусть доберутся и ручки поукоротят)


            1. equand
              15.04.2018 18:52

              Вообще не надо «проходить сертификацию». Откуда эта инфа пошла?
              Сертификация только для mid бизнеса и выше, а это 100+ работников и много миллионные обороты.


              1. sumanai
                15.04.2018 20:56

                Так это самые опасные, хранящие много данных. Магазинчик аэродинамических кабелей для ПК знает только то, что я у него купил пару SATA кабелей, да адрес офиса выдачи службы доставки. Гугл же знает всё, кроме ччастоты почёсывания затылка при решении сложной задачи.


                1. equand
                  16.04.2018 10:02

                  Ну так Гугл и не small бизнес. Им и надо сертифицироваться.


            1. sumanai
              15.04.2018 20:55

              А я оптимист.

              А я пессимист и вижу только централизацию всех данных в руках нескольких корпораций. Кто там согласен потратить миллионы на это? Гугл, фейсбук, твиттер.


          1. equand
            15.04.2018 18:50
            -1

            Мелкие конторы не могут этого делать в принципе.

            Для проведения какой-либо деятельности с целью получения выгоды в онлайн даже мелким компаниям надо удостовериться хотя бы в одном прямом контакте с пользователем. Адрес, IP адрес, телефон — что-либо. Так что маленькие компании обязаны GDPRиться и не могут свалить это на cloud вообще.


            1. creker
              15.04.2018 20:25
              +1

              Они могут свалить на них часть задач потенциально. Судя по определениям, большинство компаний так или иначе попадает под определение контроллеров, если они просят у пользователей их личные данные. Видится как наиболее ответственная сторона в этой всей затее. Но так или иначе часть задач можно переложить на облако, которое станет процессором. Может хранить, обрабатывать, передавать третьей стороне, делать всякое непотребство, но по четким указаниям контроллера.


              1. equand
                16.04.2018 09:57

                Нет не надо. Мелкие конторы могут собирать и хранить данные необходимые для заказа по закону, без даже особого описания в privacy policy. Знаю, ибо владею конторой в ЕС.

                Если собираете больше, то пожалуйте под GDPR. Но 99.99% мелких контор не должны ничего по GDPR, кроме уведомления в случае обнаруженного взлома и проблем и удаления данных после периода аккаунтинга.


                1. creker
                  16.04.2018 15:38

                  Т.е. вы хотите сказать, что информация из заказа такая как email адрес, адрес доставки, имя фамилия, телефон — это GDPR не покрывает? Что-то у вас противоречие получается и нивелирует всю GDPR затею, да еще и не соответствует тому, что пишут в интернете о GDPR. Онлайн магазин для заказа собирает личные данные, которые идентифицируют человека, т.е. попадает под определение контроллера, но ничего кроме обнаружения взлома не должна? По GDPR она там много чего должна, будучи контроллером. Как минимум, обеспечивать должную защиту информации. И в случае, если произойдет утечка, а должная защита отсутствовала, то придется платить за ущерб материальный или нет. Это я так бегло по GDPR вычитал. Кто его знает, сколько всего на самом деле предписывает этот акт. Поэтому логично как можно больше снять с себя — не заниматься защитой информационной, а отдать это на откуп другим. Тем же облакам. Azure вот уже в контракт добавил гарантии для GDPR.


                  1. equand
                    16.04.2018 16:28

                    Вот в том то и дело, что передавать куда-либо данные создает тучу проблем. Вот например наша полиси теперь.

                    serverastra.com/billing/knowledgebase/15/ServerAstra-Privacy-Policy.html

                    Касательно Azure персональными данными является также данные сервера клиента, его впс и т.п. и т.д. Так что Azure должны иметь гарантии GDPR, т.к. по сути они будут хранить персональные данные, например в случае, если Вы являетесь стартапом пользующимся Azure.

                    Мы тоже работаем над добавлением записи о Storage Data, которое тоже может включать персональные данные, а соответственно подпадает под GDPR. Но опять же, нас это особо не касается. Мало что изменилось, только добавились подробности i.e. сколько храните данные, какие конкретно данные собираете, куда передаете, как обрабатываете, а также удаление данных (очень хитрый вопрос, ибо надо удалять и из бекапов!) и выкачка всех персональных данных (решается софтом).


  1. neic
    15.04.2018 13:34

    Подскажите пожалуйста, если в РФ есть закон о хранении данных и в ЕС такой же, в US тоже думаю что есть. Все страны хотят хранить данные у себя в стране, то как хранить эти ПД? Спрашивать у юезров из какой они страны и иметь как минимум 3 базы данных — в РФ, в ЕС и US для хранения этих ПД?


    1. Andrey_Kalugin
      15.04.2018 17:53

      152-ФЗ предписывает первичное хранение и обработку на территории РФ. При этом трансграничная передача разрешена. GDPR тоже разрешает трансграничную передачу данных граждан EU при соблюдении определенных условий. В принципе, облака все эти вопросы как раз и помогают решить. GDPR — это не только про место хранения. Вопрос намного шире — каковы мои права как субъекта перс. данных? GDPR как раз мне эти права и дает — право на осзнакомление, забвение, оповещение в случае утечки мои х данных и т.п.