/ фото Stock Catalog CC
Что такое GDPR
General Data Protection Regulation — это регламент защиты данных, который призван ужесточить в том числе и регулирование сферы ПД в рамках ЕС. Оно вступит в силу 25 мая 2018 года и заменит собой Data Protection Directive — директиву, принятую в 1995 году.
GDPR коснется любых компаний и организаций, так или иначе обрабатывающих ПД граждан ЕС (в том числе и американских ИТ-корпораций). Исходя из этой ситуации, Министерство торговли США еще в июле 2016 года разработало механизм EU-US Privacy Shield (защита ПД в рамках сотрудничества США и ЕС). Его задача — помочь американским компаниям привести свою деятельность на территории ЕС в соответствие с локальными директивами о работе с ПД. В октябре 2017 года EU-US Privacy Shield был одобрен самим ЕС, и им заинтересовались более 2000 компаний, в том числе Google, Microsoft и Facebook. Однако европейские наблюдатели неоднократно критиковали этот механизм за недостаточную жесткость в регулировании работы с ПД.
Как работает GDPR
Регламент обязателен к исполнению. Штрафы в случае несоблюдения — до 20 млн евро или 4% годового оборота компании, который будут определять на основе выручки не только в ЕС, но и по всему миру. Регулятор намеревается применять достаточно общие положения регламента в интересах жителей ЕС — компании скорее всего не смогут найти здесь какие-либо лазейки. Например, ответственность распространяется на любую организацию со штатом свыше 250 человек, но и не исключает компании с меньшим числом сотрудников, если деятельность бизнеса представляет риск для прав и свобод граждан ЕС. Такая формулировка потенциально затрагивает любую компанию.
Закон выделяет две категории организаций: операторы данных (data controllers) и обработчики данных (data processors). Операторы — это компании, которые осуществляют хранение ПД. Обработчики — это любые компании, которые эти данные используют. Регламент возлагает одинаковую ответственность на обе категории. Если фирма использует сторонний сервис, не отвечающий требованиям GDPR, она автоматически не соблюдает требования регламента. Таким образом, ввод нового регулирования будет означать пересмотр взаимоотношений бизнеса с облачными провайдерами, SaaS-стартапами и платежными организациями.
Исследование PwC показало серьезное отношение американских компаний к GDPR — 68% компаний планируют потратить от 1 до 10 млн долларов на выполнение новых требований, а 9% организаций — больше 10 млн долларов. По данным отчета Ovum, две трети американских компаний считают, что новый регламент заставит их пересмотреть свою стратегию работы в ЕС. При этом большинство американских компаний говорят, что европейские бизнесы получают конкурентное преимущество, а американцы будут оштрафованы. Консалтинг-агентство Oliver Wyman прогнозирует, что ЕС может собрать не менее 6 млрд долларов в виде штрафов за первый год с момента ввода нового регламента.
Реакция Google на GDPR?
Новое регламент вынудил Google внести коррективы в работу практически всех своих сервисов. Например, для AdWords и Google Analytics были обновлены пользовательские соглашения, предупреждающие о требованиях GDPR.
В случаях, где Google и компания-клиент, использующая его приложения, выступают в роли независимых друг от друга операторов данных, Google обновит текущие соглашения, а также введет новые, так называемые «межоператорные» соглашения (controller-contoller terms). Суть этих межоператорных соглашений сводится к тому, что оба оператора (Google и компания-клиент) каждый по-своему усмотрению распоряжаются ПД в рамках, удовлетворяющих требованиям GDPR.
По мнению PageFair, подобное соглашение чревато для компаний, пользующихся сервисами Google. Ведь в данном случае ИТ-гигант может получить доступ к ПД, которые собирает компания-клиент. В таком случае компания-клиент не сможет уведомить своих пользователей о том, как именно будут использоваться их ПД. Учитывая, что GDPR распределяет ответственность между всеми обработчиками информации, другие обработчики рискуют нарушить договор, если Google злоупотребит своим положением.
Также для удовлетворения требований GDPR Google запустит сервис неперсонализированной рекламы. Пользуясь таким сервисом, клиенты смогут рекламировать продукцию не прибегая к сбору ПД своих пользователей.
Реакция Facebook на GDPR??
На своем сайте Facebook заявил о ведущейся работе по удовлетворению требований GDPR. Компания расширила отдел защиты данных в Дублине, а также сделала его главным по координации всех усилий в этом направлении. Например, в конце марта Facebook закрыла «партнерские категории» (Partner Categories). Они позволяли рекламодателям площадки использовать ПД, собранные крупными сторонними операторами Datalogix, Epsilon, Acxiom и BlueKai.
Однако до сих пор неясно планирует ли Facebook выполнять требования GDPR глобально или постарается соблюсти требования исключительно в европейском сегменте. На прошлой неделе Марк Цукеберг в телефонном интервью Reuters отказался от повсеместного внедрения изменений в платформу и отметил, что компания работает над тем, чтобы часть требований GDPR работала в мировом масштабе, но отказался комментировать, о какой именно части идет речь.
В открытом письме Цукербергу ряд американских и европейских организаций по защите прав потребителей потребовали от компании «подтвердить согласие с требованиями GDPR на глобальном уровне, а также предоставить детальный план проводимых в связи с этим мероприятий». На данный момент официального ответа от Facebook не поступило.
Больше материалов в Первом блоге о корпоративном IaaS:
- Защита персональных данных: европейский подход
- Тестирование безопасности облака: устранение security-проблем
- Особенности размещения государственных информационных систем в облаке
- Правовые вопросы использования облачных технологий финансовыми организациями
- Облачная ИТ-инфраструктура в реализации международных проектов
Комментарии (32)
Opaspap
15.04.2018 07:37А кто заплатит за фантазии чиновников?
Goron_Dekar
15.04.2018 11:54В статье написано, кто. Сначала компании-агрегаторы, потом рекламодатели а потом — потребители продуктов рекламодателей.
Вообще всегда за любые фантазии чиновников/менеджеров платят одни и те же людиZtare
15.04.2018 13:34А я всерьез надеюсь, что этот закон уменьшит аппетиты всех мелких и не очень контор до моих персональных данных. Если их сбор и хранение станет невыгодным занятием, то я только за. Понятно что оно может повернуться как угодно, но положительный аспект я такой вижу.
creker
15.04.2018 14:13Мелкие конторы просто возложат ответственность за хранение ПД на компании, которые прошли сертификацию. Уйдут в какое-нить облако и все.
Ztare
15.04.2018 14:31А я оптимист. (дальше мечты и надежда на человечество) Просто чтобы оперировать ПД в принципе придется проходить сертификацию. Соответственно сервисы должны переработать стратегию общения с пользователями, чтобы ПД у них не было (и досупа к ним тоже). Для платежей они уже не сильно нужны (ПД останутся в банках и третьим лицам не будут переданы), с почтой и доставкой что-нибудь придумают. Для всего остального они тоже часто принципиально не нужны. А то расплодилось тех же приложений, подавай им все права на смартфоне на каждый чих (до них тоже пусть доберутся и ручки поукоротят)
equand
15.04.2018 18:52Вообще не надо «проходить сертификацию». Откуда эта инфа пошла?
Сертификация только для mid бизнеса и выше, а это 100+ работников и много миллионные обороты.sumanai
15.04.2018 20:56Так это самые опасные, хранящие много данных. Магазинчик аэродинамических кабелей для ПК знает только то, что я у него купил пару SATA кабелей, да адрес офиса выдачи службы доставки. Гугл же знает всё, кроме ччастоты почёсывания затылка при решении сложной задачи.
sumanai
15.04.2018 20:55А я оптимист.
А я пессимист и вижу только централизацию всех данных в руках нескольких корпораций. Кто там согласен потратить миллионы на это? Гугл, фейсбук, твиттер.
equand
15.04.2018 18:50-1Мелкие конторы не могут этого делать в принципе.
Для проведения какой-либо деятельности с целью получения выгоды в онлайн даже мелким компаниям надо удостовериться хотя бы в одном прямом контакте с пользователем. Адрес, IP адрес, телефон — что-либо. Так что маленькие компании обязаны GDPRиться и не могут свалить это на cloud вообще.creker
15.04.2018 20:25+1Они могут свалить на них часть задач потенциально. Судя по определениям, большинство компаний так или иначе попадает под определение контроллеров, если они просят у пользователей их личные данные. Видится как наиболее ответственная сторона в этой всей затее. Но так или иначе часть задач можно переложить на облако, которое станет процессором. Может хранить, обрабатывать, передавать третьей стороне, делать всякое непотребство, но по четким указаниям контроллера.
equand
16.04.2018 09:57Нет не надо. Мелкие конторы могут собирать и хранить данные необходимые для заказа по закону, без даже особого описания в privacy policy. Знаю, ибо владею конторой в ЕС.
Если собираете больше, то пожалуйте под GDPR. Но 99.99% мелких контор не должны ничего по GDPR, кроме уведомления в случае обнаруженного взлома и проблем и удаления данных после периода аккаунтинга.creker
16.04.2018 15:38Т.е. вы хотите сказать, что информация из заказа такая как email адрес, адрес доставки, имя фамилия, телефон — это GDPR не покрывает? Что-то у вас противоречие получается и нивелирует всю GDPR затею, да еще и не соответствует тому, что пишут в интернете о GDPR. Онлайн магазин для заказа собирает личные данные, которые идентифицируют человека, т.е. попадает под определение контроллера, но ничего кроме обнаружения взлома не должна? По GDPR она там много чего должна, будучи контроллером. Как минимум, обеспечивать должную защиту информации. И в случае, если произойдет утечка, а должная защита отсутствовала, то придется платить за ущерб материальный или нет. Это я так бегло по GDPR вычитал. Кто его знает, сколько всего на самом деле предписывает этот акт. Поэтому логично как можно больше снять с себя — не заниматься защитой информационной, а отдать это на откуп другим. Тем же облакам. Azure вот уже в контракт добавил гарантии для GDPR.
equand
16.04.2018 16:28Вот в том то и дело, что передавать куда-либо данные создает тучу проблем. Вот например наша полиси теперь.
serverastra.com/billing/knowledgebase/15/ServerAstra-Privacy-Policy.html
Касательно Azure персональными данными является также данные сервера клиента, его впс и т.п. и т.д. Так что Azure должны иметь гарантии GDPR, т.к. по сути они будут хранить персональные данные, например в случае, если Вы являетесь стартапом пользующимся Azure.
Мы тоже работаем над добавлением записи о Storage Data, которое тоже может включать персональные данные, а соответственно подпадает под GDPR. Но опять же, нас это особо не касается. Мало что изменилось, только добавились подробности i.e. сколько храните данные, какие конкретно данные собираете, куда передаете, как обрабатываете, а также удаление данных (очень хитрый вопрос, ибо надо удалять и из бекапов!) и выкачка всех персональных данных (решается софтом).
neic
15.04.2018 13:34Подскажите пожалуйста, если в РФ есть закон о хранении данных и в ЕС такой же, в US тоже думаю что есть. Все страны хотят хранить данные у себя в стране, то как хранить эти ПД? Спрашивать у юезров из какой они страны и иметь как минимум 3 базы данных — в РФ, в ЕС и US для хранения этих ПД?
Andrey_Kalugin
15.04.2018 17:53152-ФЗ предписывает первичное хранение и обработку на территории РФ. При этом трансграничная передача разрешена. GDPR тоже разрешает трансграничную передачу данных граждан EU при соблюдении определенных условий. В принципе, облака все эти вопросы как раз и помогают решить. GDPR — это не только про место хранения. Вопрос намного шире — каковы мои права как субъекта перс. данных? GDPR как раз мне эти права и дает — право на осзнакомление, забвение, оповещение в случае утечки мои х данных и т.п.
alltiptop
И ни слова о самом GDPR кроме штрафов
robux
Это замаскированная борба с p2p. Я вот здесь попытался человеческим языком суть передать.
dali
Есть какой-нибудь чеклист внятный, который соблюдает и не попадаешь на штраф?
robux
Скорее всего список драконовских мер, исключающий хранение персональных данных где бы то ни было кроме ЦОДов, типа: дорогие сейфовые двери, наличие сертифицированных антивирусов (это чтобы бэкдоры гарантированно стояли), использование сертифицированного ПО СУБД, использование сертифицированной криптозащиты, требования к пожаробезопасности, наличие сертифицированных брандмауэров. И самое главное: наличие какого-нибудь "Сертификата Комитета Неполживой Супернадёжной Безопасности".
Вот и получится, что по закону персональные данные можно хранить только в ЦОДах уважаемых пацанов с мохнатой лапой и золотыми часами. По сути это тотальная узурпация всех персональных данных населения в одних руках.
Пока телезритель следит за fire-шоу в Сирии и Донбассе и online-перебранкой п.резидентов, компетентные люди ходят по квартирам и вырезают неугодных.
equand
Хрень какую-то написали. Наоборот теперь личные данные защищены от узурпаторов. Согласно этому закону Facebook должен все данные по первому запросу удалить забесплатно и при этом не имеет права сохранить shadow копии. Если они это сделают, они попадут на нереальный штраф и суд от Вас лично.
Требований к физическому хранению данных нет, как таковых. Требование в описании всех и всяких использований этих данных. Следовательно нельзя просто сохранять все подряд, чтобы «потом разобраться». Тем более нельзя скрипты аналитики без описания у себя как они будут собирать данные. В общем всякое такое и тому подобное.
Privacy policy обязана быть. С полным и точечным описанием использования данных. При этом она должна быть написана общеоборотным языком без legalese. Что значит нельзя делать сто разных референсов и мелкий текст внизу страницы, использовать юридические термины и тому подобному.
Грубо говоря privacy policy сводится к «Мы получаем ваше имя, почту, телефон через форму для обработки заказа, ваши ip адрес для безопасности, email для проведения коммуникаций и данные вашего браузера для аналитики. Данные аналитики передаются третье-сторонней компании Кукл. Также мы делаем куки ибо это ключевая система создания сессии».
Goron_Dekar
Но как это вообще связано с P2P?
robux
Как связано? А очень просто. Теперь хранение "персональных данных" на домашних компьютерах становится незаконным, так как ни один домашний компьютер не соответствует куче требований, введённых законами ЕС, РФ и США. И не надо мне говорить, что хранение персональных в облаках — это "супернадёжно, суперудобно, супербезопасно" и так далее. Своему соседу Васе я доверяю больше, чем серверам Facebook, Microsoft или Vkontakte вместе взятым. А меня сейчас этой возможности лишают, и делают Васю, хранящего мой профиль и фото у себя на компе, штрафником и уголовником.
Ztare
Странное заявление. Тогда СМС и записные книжки пойдут по тем же статьям.
equand
Хрень какую-то несете. Хранение своих данных вполне законно. Также GDPR не затрагивает мелкий бизнес чуть менее чем полностью.
sumanai
А вы не храните перс данные, я не припомню, чтобы например торренты требовали у меня фамилию и анонсировали её по DHC.
OYTIS
Я думаю, robux имел в виду не файлообменники, a p2p-социальные сети типа Diaspora.
robux
Diaspora — федеративная сеть, а я имел в виду именно p2p-сеть, например, мою Пандору.
Хотя частные федеративные сети (Диаспора, Mastodon и т.п.) тоже попадают «под раздачу» из-за этих законов.
OYTIS
В GDPR прямо сказано, что он не применяется к физическим лицам.
Впрочем, мне распределенные социальные сети никогда не казались хорошей идеей: вместо того, чтобы доверить информацию о себе одной компании, ты доверяешь ее неопределенному кругу нододержателей. При том и той самой злодейской корпорации эти данные тоже не составляет особого труда получить. Возможно, имела бы смысл социальная сеть, в которой данные пользователя хранятся только на его собственной машине, но чем больше я об этом думаю, тем больше мне кажется, что такая социальная сеть уже существует и называется World Wide Web.
DoctorMoriarty
Ничего вы не передали. Только картинки с намёками на конспирологию.
robux
Всё я передал. Цитирую:
.
И там даже ссылки указаны, откуда взяты эти сведения.
DoctorMoriarty
Да-да, а еще проиллюстрировали это картинкой, изображающей влияние ZOG. IT-аналитика высокого полёта, однако.