В конце мая в Евросоюзе вступил в силу «Общий регламент о защите данных» (GDPR), заменивший «Директиву о защите персональных данных» 1995 года. Новый документ усилил защиту данных и задал новый стандарт их обработки и хранения. Именно поэтому в последние недели мая интернет-пользователи во всем мире получили множество писем от разных сайтов с информацией об изменениях в правилах использования и хранения персональных данных.

Хотя закон начали обсуждать еще шесть лет назад и о дате его вступления в силу было известно, многие компании не успели подготовиться — им пришлось менять сайты и пользовательские соглашения в последний момент. Так, американские медиа USA Today, The Verge и многие другие создали специальные страницы, на которые перенаправили посетителей из ЕС. Хотя регламент изначально воспринимался как попытка противостоять монополии ведущих гигантов отрасли, таких как Google и Facebook, в итоге он затронул все без исключения ресурсы, и его влияние на малые интернет-компании неоднозначно.

Сложившийся за последние десять лет механизм монетизации интернет-проектов по большей части основан на продаже целевой рекламы, что стало возможным благодаря сбору огромного количества данных об интересах и поведении пользователей Сети. Большинство крупнейших сайтов отслеживают действия пользователей и оценивают потенциальную «полезность» каждого из них. Именно в этом секрет бесплатности большинства сервисов, что прямо подчеркнул основатель Facebook Марк Цукерберг в своих недавних выступлениях в Конгрессе США. Цукерберг даже заявил, что сокращение зависимости от рекламодателей потребует создания платной версии Facebook. На протяжении многих лет ведущие социальные сети, получавшие в свое распоряжение колоссальный массив данных, зарабатывали миллиарды долларов на их продаже сторонним проектам и рекламодателям. При этом никто не мог гарантировать сохранности данных и обеспечить прозрачный и понятный механизм их использования, не говоря о том, что выгода рекламодателя не означает выгоду пользователя.

Привести к единообразию все законы о защите персональных данных, существующие в европейских странах, и повысить конфиденциальность данных граждан и резидентов ЕС решено было еще два года назад. Новый регламент поменял парадигму взаимоотношений между пользователями и компаниями, собирающими персональную информацию. Если раньше пользователи бездумно пролистывали текст согласия на обработку данных, чтобы поскорее нажать кнопку «Принять», то теперь они, как предполагается, будут давать такое согласие более осознанно. Во время действия прежней директивы данные европейцев словно находились в плену у компаний, которые без спроса продавали информацию третьим лицам, и на ее основании пользователям показывали рекламу. После введения нового регламента компании по-прежнему будут продавать данные и настраивать для каждого персонализированную рекламу, но теперь пользователям дают ощущение власти над информацией: не «Большой Брат следит за мной», а «я позволил Большому Брату следить за мной, но могу и передумать». Компании отныне должны объяснять пользователям, какие именно данные будут собраны и что с ними будет сделано. Регламент дает основания вести судебные разбирательства в интересах пользователей, что, вероятно, будет активно происходить в ближайшие годы.

Десять миллионов евро штрафа

Авторы регламента объясняют необходимость обновления регуляторных мер тем, что с момента введения директивы 1995 года мир данных в интернет-пространстве существенно изменился. Пожалуй, наиболее существенное изменение в регулировании использования персональных данных по сравнению с директивой 1995 года связано с расширением юрисдикции регламента. Директива 1995 года вызывала много споров и судебных исков из-за того, что ее территориальная применимость трактовалась неоднозначно. Новый регламент ликвидирует подобные разночтения: он применяется ко всем компаниям, использующим данные граждан и резидентов стран ЕС, независимо от того, где расположена сама компания. То есть даже российские фирмы, чьими услугами пользуются европейцы, тоже должны соблюдать новый регламент. Кроме того, неевропейские компании, обрабатывающие данные европейцев, должны создать представительство в ЕС.

Еще одна новинка — введение в компаниях должности ответственного за защиту данных (data protection officer). Назначить такого сотрудника обязана каждая организация, которая проводит регулярный и систематический мониторинг персональных данных или обрабатывает специальные данные — например, о судимостях и совершенных преступлениях.

Новый регламент ужесточил штрафы за нарушение правил обработки данных пользователей. В случае их несоблюдения компания будет обязана заплатить штраф в размере до десяти миллионов евро или до двух процентов своего глобального годового дохода (в зависимости от того, какая сумма больше). Если небрежность компании приведет к утечке данных, штрафы достигнут 20 млн евро либо четырех процентов глобального дохода компании (опять-таки необходимо будет заплатить бóльшую сумму). Новые штрафы в двадцать раз больше штрафов, предусмотренных законами стран ЕС в соответствии с директивой 1995 года. Кроме того, в соответствии с регламентом пользователи (субъекты данных) имеют право на компенсацию, если они понесли ущерб из-за нарушений при обработке их персональных данных. В национальные законодательства стран ЕС могут быть также внесены дополнительные меры наказания за нарушение правил обработки персональных данных, вплоть до тюремного заключения лиц, ответственных за нарушения.

За что штрафуют

За нарушение каких правил компании будут штрафовать по новому регламенту? Во-первых, за непонятные и труднодоступные формы согласия на обработку персональных данных. Если раньше компании часто размещали на сайтах пространные и трудночитаемые формы согласия, полные сложных юридических терминов, то новый регламент обязывает их составлять доступные пониманию формы, написанные простым языком.

Во-вторых, штраф грозит компаниям, которые не уведомят пользователей об утечке данных, если она угрожает правам и свободам отдельных лиц. При этом сообщить об утечке необходимо в течение 72 часов с момента ее обнаружения.

В-третьих, наказания следует ожидать компаниям, которые по требованию пользователя не предоставят ему информацию о том, какие его данные обрабатываются и с какой целью. Регламент разделяет понятия «контролер» и «обработчик данных». Контролером регламент называет организацию, которая определяет цели и способ обработки данных пользователей, а обработчиком — организацию, которая действует от лица контролера. Ответственность за нарушение правил обработки несет контролер, даже если нарушение связано с действиями обработчика. По запросу пользователя контролер обязан бесплатно предоставить ему электронную копию его персональных данных, а пользователь, в свою очередь, имеет право на переносимость. Это принципиально новое право, по которому пользователь может передать свои данные, ранее предоставленные одному контролеру, другой организации.

Еще одно право пользователей, которое компаниям отныне запрещено нарушать, — право на забвение. Если пользователь передумает предоставлять свои данные компании, по новым правилам он сможет отозвать свое согласие на обработку данных — и этот нюанс также должен содержаться в форме согласия. По требованию пользователя контролер обязан удалить его персональные данные, прекратить их дальнейшее распространение и заставить третьи лица также прекратить их обработку. Исключение составляют данные, удаление которых противоречит интересам общества или нарушает фундаментальные права европейских граждан, — например, право на свободу слова. Так что, конечно, многочисленные лазейки в законе существуют. Но, что важно, регламент обязывает компании следовать принципу конфиденциальности по умолчанию. Этот означает, что защиту данных необходимо закладывать уже в первоначальный дизайн продукта, в начале разработки. Соответственно, регламент повлияет на глобальный интернет в целом. Крупным проектам невыгодно разрабатывать специальные версии для ЕС, и во избежание конфликтов они, скорее, соответствующим образом модернизируют сервис для всех пользователей. Об этом уже заявили многие крупные компании, включая Facebook. Что касается малых компаний и стартапов, у которых нет мощного юридического ресурса, то пока они лишь столкнулись с дополнительными рисками и нагрузкой. Любая компания с числом сотрудников свыше 250 отныне должна разработать подробную документацию о причине и объеме сбора данных, а также описать технические средства их передачи, обработки и обеспечения конфиденциальности.

Интересно, что свободное распространение информации, которое стало символом открытого рынка и западных демократий, в последние годы столкнулось с противодействием со стороны своих же апологетов. Запрос на приватность и безопасность информации пришел вслед за бесконтрольным информационным потоком, куда попадали любые куски информации — от личных до политически чувствительных. Западные страны сами же подорвали веру людей в свободный интернет и безопасность информации — вспомним лишь дело Эдварда Сноудена. Законность, справедливость и прозрачность интернета не смогли выжить сами по себе и превратились в законодательное требование, которое сильно не изменит реальность, но даст пользователям формальное ощущение безопасности.