06.07.2018

Когда речь заходит о GDPR, мне сразу вспоминается начало 2012-го — тогда сайты вдруг стали терроризировать нас уведомлениями об использовании куки. Эти всплывающие окошки до сих пор вызывают у многих раздражение и непонимание: «кому это вообще нужно?» GDPR же «действует» более скрытно и деликатно: преимущественно через электронную почту — но своей важностью и патетикой вызывает у пользователей куда больше вопросов и тревог.

Вы уже наверняка столкнулись с назойливой аббревиатурой: возможно, вам пришло письмо от компании, клиентом которой вы являетесь; или мобильный сервис уведомил о новых правилах; в компании друзей, в конце концов, могла произойти соответствующая беседа. И если вас до сих пор пугает этот непонятный акроним, успокойтесь — вся планета, включая тех, кто за него ответствен, тоже в ужасе.

Сейчас я постараюсь объяснить, почему GDPR — это просто и вместе с тем сложно.

Всего лишь регламент

Работа над «Общим регламентом о защите данных» (расшифровка GDPR) началась в Евросоюзе 4 года назад: новый документ должен был заменить устаревшую «Директиву защиты данных» от 1995-го года. Перемены, возможно, даже слегка запоздали: ведь сегодня и приложение калькулятора без зазрения совести собирает наши персональные данные для только ему ведомых целей.

Постановление нового регламента было принято уже два года назад — всё это время было дано компаниям, чтобы подготовиться к «новому порядку». В действие закон вступил 25 мая текущего года — с этого момента мы и начали получать шквал писем и уведомлений о GDPR.

Говоря простыми словами, свод правил GDPR призван защитить нас от недобросовестных действий, связанных со сбором личной информации. Данные о нашем местоположении, история запросов в поисковиках, покупки в магазинах, аккаунты в соцсетях, личная информация любого толка — GDPR об этом всём.

А если ещё проще, GDPR — это хороший, полезный и гуманный закон, заботящийся о пользователях в «хищной» среде современного интернета. Всемирная паутина — это настолько неподдающийся описанию и контролю феномен, что защита прав пользователей в нём становится тем более актуальной. Развитие интернета было стремительным, и тот хаос, который сейчас в нём царит, совершенно не учитывает, хотим ли мы, чтобы «о нас знали всё», или нет. GDPR — это одна из попыток это исправить.

Суть

Защита подразумевает отношения пользователя с компаниями, так или иначе работающими через интернет. Вспомните, как обычно происходит заключение договора: мы пролистываем длинное пользовательское соглашение, чтобы нажать кнопку «я согласен». Никто этот текст не читает, поскольку в нём сам чёрт ногу сломит, а касательно сбора личной информации — там всё равно нет ничего полезного и внятного.

GDPR призван решить все эти проблемы одним махом. Казалось бы сложный свод правил как раз и обязывает компании всё упростить. Теперь длинные «свитки» соглашений должны превратиться в краткий, ясный и понятный текст, в котором честно и прозрачно объясняется, что о нас будут собирать, зачем и почему.

Теперь компании и сервисы должны чётко объяснять пользователю цель, с которой они собирают персональные данные — и полученная ими информация должна использоваться исключительно в этой цели. Кроме того, запрещается собирать данных больше, чем это требуется для указанных задач. Хранить их дольше, чем требуется, тоже нельзя.

Есть в тексте GDPR и кое-что поинтересней. Если собранная сервисом информация неточна или ложна, клиент может в любое время потребовать её изменить. И наконец, то, чего все так долго ждали — мы можем запросить удаление наших персональных данных в любой момент! Другими словами, GDPR делает нас, пользователей, активными участниками интернет-взаимотношений с компаниями. Теперь клиенты не просто будут спокойны за свои данные, но и напрямую смогут влиять на их статус.

Ещё один полезный «бонус» — пользователь может потребовать у компании поделиться собранной о нём информацией с другой фирмой или сервисом. Пример: вы долго являлись клиентом интернет-магазина Ozon. Он, понятное дело, собирал о вас кучу данных: что вы покупаете, когда покупаете, какие суммы тратите и т.д. На основе этой информации магазин предлагает вам персонализированную рекламу, делает выгодные предложения и полезные уведомления. И вот теперь вы хотите, чтобы другой магазин тоже знал ваши предпочтения. Вы просто просите Ozon поделиться базой данных о вас со сторонним сервисом — и дело в шляпе.

В качестве любопытного постскриптума можно упомянуть о важном пункте GDPR, согласно которому дети (пользователи до 16 лет) могут пользоваться ресурсом или сервисом только с согласия родителей.

А мы тут причём?

По большей части — действительно не при чём. GDPR — это регламент Европейского Союза и защищает он жителей Европейского Союза. Как минимум по этой причине уже можно успокоиться — нас это касаться практически не будет. Однако причин радоваться я не вижу, поскольку GDPR — хороший и полезный закон, и знать о нём нужно уже потому, что подобный свод правил вполне может появиться и в России. По меньшей мере, я на это надеюсь.

И тем не менее, GDPR имеет так называемые экстерриториальные черты — а значит вполне может «задеть» жителя любого государства. Во-первых, если вы приехали в страну ЕС — GDPR автоматически начинает на вас распространяться. И во-вторых, если ваша компания обслуживает клиентов из ЕС — вы также обязаны соответствовать регламенту. Поэтому, если вы являетесь владельцем одной из таких компаний, рекомендую уже начать заниматься этим вопросом. Однако, особенно пугаться и спешить тоже не стоит — в следующем разделе я поясню, почему.

А это вообще реально?

Штраф для компании, нарушающей условия GDPR, может достигать €4 млн или 4% её годового дохода, если последний превышают указанную суму. Согласитесь, немало. Это может полностью лишить дохода крупного производителя, а малый бизнес и вовсе разрушить. Дело осложняется тем, что, как и следовало ожидать, большинство компаний оказалось не готово к новым правилам. Например, из 1 000 опрошенных в апреле американских фирм, половина призналась, что не сможет соответствовать всем пунктам GDPR к указанным срокам. В техносекторе таких компаний ещё больше — 60%.

Даже в Лондоне четверть фирм не знала, что такое GDPR, на январь 2018-го. Для тех же, кто добросовестно готовился к новому порядку, наступили не самые приятные дни: так, только закон вступил в действие, Google и Facebook стали получать сотни судебных повесток. Дело в том, что разобраться со всем тем хаосом, что представлял до сих пор из себя сбор персональных данных, едва ли представляется возможным. Некоторые аналитики (например, профессор информатики Университета Колорадо Элисон Кул) так и говорят: GDPR, мол, «невозможный» свод правил, и нет никаких шансов полностью ему соответствовать.

Как, например, быть с миллионами пользователей-детей? Этот момент отлично высмеяли в сатирическом сериале «Кремниевая долина»: там героям пришлось полностью избавиться от своей компании, поскольку разобраться с этим вопросом уже не представлялось возможным.

А что делать с миллиардами терабайт накопленных данных о пользователях? Как удалить из них «лишнюю» информацию? Как реализовать постоянный доступ к этим данным и полноценное управление ими? В свете этого бедлама сооснователь PayPal Питер Тиль обиженно заявил, что поскольку в Европе нет успешных технологических компаний, Евросоюз, ревностно относясь к США, «наказывает» американские бренды.

Словом, владельцам больших интернет-компаний предстоит поломать голову, и во всей своей полноте GPPR «развернётся» ещё не скоро. Пожалуй, единственное, что уже сейчас необходимо реализовать — внятное пользовательское соглашение и хотя бы базовую коммуникацию с пользователями. Что до остального — время покажет.

Что в итоге?

Итак, GDPR — это свод правил, регулирующих то, как компании должны обращаться с нашими личными данными. Благодаря GDPR пользователи могут контролировать этот процесс, запрашивать удаление и перенос персональной информации. В идеале GDPR должен положить конец тому хаосу, который представляет сейчас «сбор персональных данных» в интернете.

Закон распространяется на граждан или гостей ЕС и на компании, которые «по долгу службы» связаны с Евросоюзом. Нас — жителей России — это в большинстве случаев касаться не будет, однако иметь представление о своих правах всё же стоит. В конце концов — быть может в скором времени мы тоже «обзаведёмся» аналогичным законом.

Уже сейчас стало понятно, что принятие новых правил — крайне болезненная процедура для интернет-компаний, поэтому можно сказать: «история с GDPR» только начинается. Мы будем активно следить за развитием каждого сюжетного поворота.

А вы не покидайте наш блог — здесь мы публикуем много интересных статей о гаджетах и технологиях - и подписывайтесь на Telegram-канал с экспресс-новостями и обзорами.