В следующую пятницу вступает в силу Общий регламент по защите данных (General Data Protection Regulation, GDPR), который ужесточит регулирование сферы ПД на территории Европейского союза. В связи с новыми требованиями ИТ-компании обновляют регламенты по работе с ПД.

Сегодня мы решили рассказать о том, что уже ввели в WhatsApp, Facebook, Instagram и Twitter.


/ фото Japanexperterna.se CC

Главная цель GDPR — предоставить гражданам 28 государств (членов ЕС) контроль над данными, которыми они делятся с различными сервисами и медиа. Новый регламент повлияет на бизнес всех компаний, хранящих и использующих данные пользователей из стран Европейского союза.

В том числе это коснётся и американских корпораций. Поэтому компании уже сейчас предпринимают шаги, направленные на подготовку к работе в новых условиях.

Об изменениях в WhatsApp


Неделю назад компания WhatsApp опубликовала обновлённую политику конфиденциальности и условия предоставления услуг. Чтобы соответствовать регламенту GDPR, сервис обмена сообщениями создал представительство в ЕС (WhatsApp Ireland Limited) и ввёл функцию, позволяющую пользователю запросить информацию об аккаунте — это настройки, фото профиля, имена групп и др. Сообщения в чатах передаваться таким образом не будут. Но историю переписки можно экспортировать другими способами, в зависимости от ОС смартфона.

На новой странице FAQ компания привела алгоритм действий для запроса и скачивания отчёта с информацией об аккаунте. Он предоставляется в течение трех дней после оформления заявки. Во время обработки запроса действия с учётной записью ограничивают, например, нельзя удалять аккаунт или менять номер телефона — это отменит заявку на предоставление отчета.

В блоге представители компании отдельно подчеркнули, что WhatsApp делится лишь ограниченным объемом данных со своим владельцем — компанией Facebook. Сообщения, фотографии, информация об аккаунте не будут передаваться в Facebook без разрешения клиента. Соц.сеть перестала использовать информацию из аккаунта WhatsApp для предоставления релевантного контента.

Однако часть информации, в частности, используемое устройство, версия операционной системы и приложения (и др.), все же попадает в руки Facebook. В FAQ отмечено, что это нужно для повышения уровня защищенности сервисов и борьбы со спамом (например, для определения того, какие аккаунты Facebook Companies принадлежат одному и тому же пользователю).

Ещё одно обновление мессенджера — повышение возрастного ограничения для пользователей с 13 до 16 лет для резидентов ЕС. Для жителей других регионов регистрация будет возможна с 13 лет.

Что добавляет Facebook


Пункт № 32 GDPR отмечает, что «если обработка персональных данных имеет несколько целей — согласие должно быть дано для каждой из них». Поэтому Facebook и другие компании больше не смогут использовать персональные данные, которые они хранят, в рекламных целях без ведома и разрешения их владельцев. В то же время компании не имеют права запретить доступ к сервису тем, кто отказался от отслеживания их действий в сети.

Поэтому в Facebook добавили диалоговое окно, в котором пользователи могут дать свое согласие (или отказаться) от сбора той или иной информации о себе. Однако манера, в которой это было сделано, подверглась критике таких крупных изданий, как TechCrunch и The Guardian. Они отмечают, что интерфейс приложения направлен на то, чтобы склонить пользователей быстрее дать свое согласие на обработку всей информации и продолжить работу с сервисом.

Также Facebook вернули жителям Европы функцию распознавания лиц, которая была запрещена с 2012 года. Она будет включена по умолчанию, но её можно отключить, сняв соответствующую галочку в настройках.

Еще в Facebook позволили выгружать историю поиска в социальной сети, а также историю тегов местоположений — раньше эти данные были доступны только в журнале действий пользователя.

Для этого компания запустила сервис Download Your Information.

Данные, предоставляемые сервисом, включают обновления статусов, удаленные сообщения, черновики видео, которые не были загружены, а также списки телефонных звонков. Однако, как отмечают редакторы Wired это далеко не всё, что компания знает о своих пользователях. По их мнению, инструмент не показывает:

  • историю просмотров в браузере;
  • информацию об используемых приложениях;
  • данные о рекламодателях, которые загрузили контактную информацию пользователя;
  • рекламные объявления, с которыми пользователь взаимодействовал.

Однако есть основания полагать, что в ближайшее время пользователи социальной сети (по крайней мере, в Европе) получат доступ и к этой информации.


/ фото Garry Knight CC

Нововведения Instagram и Twitter


В Instagram также анонсировали новую опцию загрузки данных (Data download). Доступ к информации можно получить в разделе «Безопасность и конфиденциальность», оставив свой электронный адрес. Приложение обещает через 48 часов отправить ссылку на архив с фотографиями, информацией профиля, комментариями и другими данными. В настоящий момент функция доступна в только десктопной версии, но уже разрабатывается для приложений на iOS и Android.


24 апреля специалист по защите информации Twitter Дэмиен Киран (Damien Kieran) опубликовал пост, где анонсировал обновления политики конфиденциальности социальной сети. Цель обновления — внести ясность и проинформировать пользователей о том, какими данными они делятся с Twitter.

Когда вступит в силу регламент GDPR, пользователи при входе в свою учётную запись увидят сообщение об обновлении политики конфиденциальности сети. Их попросят подтвердить или изменить настройки. Киран также отметил, что люди могут обращаться напрямую к его команде, если у них возникают какие-либо вопросы по поводу обращения с ПД и вступления в силу GDPR. Последние обновления о политиках социальной сети будут публиковаться на странице @Policy.



P.S. О чем еще мы пишем в Первом блоге о корпоративном IaaS:


P.P.S. Несколько материалов по теме из нашего блога на Хабре:

Комментарии (2)


  1. roboter
    17.05.2018 09:01

    территории Европейского союза

    — поправочка, для граждан Европейского союза, где бы территориально сервис не находился бы.


    1. Kanut79
      17.05.2018 10:53

      Там всё немного сложнее. Вот тут этот вопрос детально пытаются разобрать:

      "This Regulation applies to the processing of personal data of data subjects who are in the Union "
      By the above definition, the data subject is more than an EU Citizen or a Resident. Both are by definition a Data Subject but the Data Subject does not have to be either. It could be someone on holiday in the EU or even someone in transit through the EU, on a flight.

      cybercounsel.co.uk/data-subjects