Право на privacy

Новый регламент ЕС защитит частную жизнь европейцев

Весной 2016 года Еврокомиссия приняла документ Global Data Protection Regulation (GDPR – Глобальное регулирование защиты данных). С его помощью в 28 странах Европейского союза будут координировать отношения, связанные с обработкой персональных данных граждан госструктурами и компаниями. Регламент вступит в силу в мае 2018 года.

Тяга к гармонии

Цифровой рынок с облачными технологиями, Big Data и Интернетом вещей сделали положения Страсбургской Конвенции [1], принятой в 1981 году, неактуальными. Увеличение объемов производимых данных, огромное число социальных медиа и интернет-сервисов уже не позволяют человеку самостоятельно контролировать обработку своей личной информации. Такое мнение высказал помощник президента РФ Игорь Щёголев на профильной международной конференции [2], прошедшей 8 ноября в Москве.

В 1995 году ЕС принял Директиву о защите данных. На ее основе страны Европы могли создавать собственное законодательство в этой области. Из-за глобализации экономики несколько лет назад сформировался новый тренд на гармонизацию подходов государств в сфере регулирования конфиденциальности частной жизни, констатировал заместитель Европейского инспектора по защите данных Войчех Вевьюровски.

Весной 2016 года Европарламент ратифицировал «Общие положения о защите данных» – GDPR, вступающие в силу 4 мая 2018 года. Как следует из документа, граждане ЕС смогут давать отдельное согласие в отношении каждой цели обработки своей личной информации, а также получат возможность отзывать его. Регламент вводит серьезное наказание для компаний за несвоевременное разглашение (в течение 72 часов) инцидентов, связанных с утечками данных. Нарушителям придется платить штрафы до 20 млн евро.

Бизнес должен будет активно использовать шифрование данных и псевдоанонимизацию (замена идентификаторами), уточнил директор РАЭК Сергей Плуготаренко. Введение нового регламента ЕС позволит сэкономить порядка 2,3 млрд евро в год, считает эксперт.

GDPR предусматривает сертификацию технических средств, с помощью которых осуществляется, например, «умное» видеонаблюдение. Оно позволяет маркетинговым службам среди сотен людей в торговых сетях распознать потребителя и предложить ему таргетированную рекламу, рассказал заместитель комиссара по вопросам информации Республики Словения Андрей Томшич. Сертификацией, которая будет добровольной, но даст компаниям преимущество на рынке, занимается проект CRISP [3]. Он определит и классифицирует продукты и услуги европейского рынка безопасности, разработает дорожную карту и стандарты в технической и этической плоскостях.

Особое внимание не только к правовой, а к технологической защите данных – на повестке дня многих государств.

Создание информационных систем (ИС) и их обслуживание в Азербайджане с марта 2016 года может осуществляться только на основании специальной лицензии. Оператором госреестра ИС выступает регулятор, отметил главный консультант юридического отдела министерства связи и высоких технологий Азербайджанской Республики Бахтияр Мамедов.

Опасные связи

В GDPR включены особые правила для получения согласия детей на обработку их персональных данных. Несовершеннолетние разбираются в структуре интернет-ресурсов лучше, чем взрослые, но они часто не замечают рисков, которые существуют в Сети, отметила главный специалист отдела социального образования и международного сотрудничества Бюро Генерального инспектора по защите персональных данных Польши Анна Завила-Неджвецка.

Гостья представила написанное простым языком и находящееся в свободном доступе учебное пособие для педагогов в сфере информационной безопасности (ИБ). Методические материалы создали в рамках проекта ARCADES, который объединил 3 тыс. учителей и 30 тыс. студентов в Венгрии, Словении и Польше.

Порой в утечке данных виноваты родители. Согласно исследованиям, в год они могут выкладывать в соцсетях до 200 фотографий своих детей, сообщила глава международного отдела национального органа по защите данных и свободе информации Венгрии Юлия Сиклаи. В Австрии девочка подала в суд на мать за размещение в интернете приватных снимков.

Ю. Сиклаи рассказала об эксперименте, который провел регулятор, по внедрению в одну из онлайн-сетей знакомств, где школьники регистрируются с 13 лет. Фальшивой участнице в течение часа пришло много неприятных комментариев и сомнительных приглашений о встречах. Напрямую такой бизнес запретить нельзя, сложно найти инициаторов создания подобных интернет-ресурсов, констатировала спикер. Необходимо повышать информированность детей и педагогов об опасности активной публичной жизни в Сети. В 2015 году Университет Брюсселя выпустил справочник для преподавателей в сфере ИБ. В 2014-м на венгерском ТВ был запущен клип о защите данных с участием популярного певца Vastag Tamas.

«Щит» вместо «Гавани»

Заместитель генерального секретаря, комиссар по информации общественной значимости и защите персональных данных в Республике Сербии Златко Петрович рассказал о нашумевшей истории с участием национального агентства по приватизации. На сайте этой организации в течение 10 месяцев был доступен текстовый файл, содержащий профили с номерами паспортов 5,2 млн жителей Сербии, которые в 2007-м приобрели акции крупных компаний. Расследование показало, что скачать личную информацию о любом гражданине не стоило труда, документ был проиндексирован и поисковыми системами. В агентстве, которое сегодня уже не существует, утверждали, что столкнулись с хакерской атакой. Уголовное дело о нарушении прав 70% населения страны пока не закрыто.

Знания и активная позиция всегда помогали защитить права. Ю. Сиклаи напомнила участникам конференции о юристе из Австрии Максе Шремсе, который уличил Facebook в нарушении европейских законов о неприкосновенности частной жизни и добился упрощения процедуры получения пользователями личных данных из архива соцсети.

Как известно, в рамках этого длинного и еще не завершенного судебного разбирательства, где М. Шремс представляет интересы более 25 тыс. пользователей, было аннулировано многолетнее соглашение по обмену данными между США и Европой под названием «Безопасная гавань» (Safe Harbour). В июле 2016 года ему на смену пришел документ под названием Privacy Shield («Щит конфиденциальности»).

По мнению граждан Европы, в наибольшей защите нуждается личная финансовая информация и медицинские данные, алгоритмы обработки которых не всегда прозрачны, сообщил результаты исследования, проведенного в странах ЕС, С. Плуготаренко. Зато люди готовы делиться предпочтениями в сфере покупок в интересах маркетинга. Респонденты признают, что сами зачастую не читают пользовательские соглашения о защите данных.

На своей территории

Помимо совместимости подходов в защите информации, необходимо решить проблему независимости надзорных органов в выражении своей позиции, а также добиться единообразия в обеспечении локализации данных на территориях государств, заявил В. Вевьюровски.

Равномерное распределение интернет-ресурсов в мире и стабильное хранение информации увеличит число безопасных услуг в Сети и снизит возможности внедрения вирусного ПО. Такое мнение высказал директор IXcellerate Гай Виллнер. Лучше, если большие интернет-компании будут иметь представительства в каждой стране, считает он.

По словам эксперта, Германия, хотя и входит в ЕС, имеет собственный закон о персональных данных, который требует хранить операторский трафик в стране (такое же положение есть и в российской нормативной базе). Облачные провайдеры при участии в госпроектах должны заключать договоры о неразглашении.

По итогам голосования в Сенате Франции 3 мая 2016 года был принят закон (Digital Bill – «Цифровой билль»), который включает в себя положения, регламентирующие локализацию данных.

Правительство Канады уже объявило Microsoft, что ЦОДы корпорации должны быть размещены внутри страны. Этот опыт будет тиражироваться и вскоре станет обычной практикой, подчеркнул Г. Виллнер. Он отметил, что в течение этого года 15 крупных компаний смогли найти возможность разместить данные на территории России, значит, это под силу и другим участникам рынка.

Спикер назвал правильной политику Роскомнадзора в обеспечении международного диалога и посоветовал бизнесу не терять время и консультироваться по вопросам хранения данных непосредственно с представителями ведомства, а не с консалтинговыми структурами.

Заместитель Европейского инспектора в свою очередь напомнил, что не все данные сегодня являются цифровыми. Таким образом, существующего законодательства по их защите недостаточно. Уполномоченным органам пора разрабатывать решения по ограничению доступа к конфиденциальной информации во всех сферах жизни людей.

[1] Конвенция о защите физических лиц при автоматизированной обработке персональных данных была заключена в Страсбурге 28.01.1981.

[2] VII Международная конференция «Защита персональных данных». Организатор – АНО «Радиочастотный спектр» при поддержке Роскомнадзора.

[3] CRISP (Evaluation and Certification Schemes for Security Products) – международная программа по оценке и сертификации продуктов для защиты данных.