Регуляція ЄС щодо захисту персональних даних.
Ви, можливо, помітили в поштовій скриньці пару-трійку листів, відправник яких запитують дозвіл на використання персональних даних? Ні, у компаній не «прокинулася совість» - всьому виною новий Регламент ЄС.
У квітні 2016 року Європарламент прийняв Регламент ЄС щодо захисту персональних даних (General Data Protection Regulation, GDPR), який повинен прийти на зміну застарілій Директиві про захист даних (Data Protection Directive) від 1995 року. Сьогодні, 25 травня 2018 року, законодавство набуло чинності - майже через два роки після його підписання. Хоча компанії, що оперують особистими даними жителів ЄС, мали достатньо часу, щоб врахувати вимоги Регламенту, принципи роботи багатьох все ще залишаються в розголошенні з новим законодавством.
GDPR складається з 99 статей і захищає права людей на володіння і розпорядження своїми персональними даними, накладаючи на компанії ряд обов'язків. Зокрема, під заборону потрапили старі способи отримувати «легальну» згоду на обробку персональних даних - за допомогою пропозиції прочитати і погодитися з дуже довгим текстом, з якого важко отримати інформацію. Тепер потрібно надавати лаконічний текст, з якого зрозуміло, що до чого. Крім цього, тепер компаніям доведеться дотримуватися політики opt-in, а не opt-out (тобто, користувач буде повинен давати згоду на обробку даних, а не відмовлятися від такої). Згода, в рамках регуляції, не дається простим клацанням по чекбоксу - вона має бути осмисленою і включати кілька кроків. Користувач тепер має право на те, щоб запитати надати всю використовувану інформацію про себе, а також попросити видалити всі дані, що стосуються його.
Крім згаданих, у 99-ти статтях описано безліч інших вимог до корпорацій, що мають справу з персональними даними.
Є одна тонкість - для багатьох компаній, що наприклад надають сервіси соціальних медіа, особиста інформація необхідна, щоб функціонувати. Наприклад, Facebook потрібно ваше ім'я, вік і фотографія. Регуляція обумовлює такі випадки - коли інформація є невід'ємною частиною роботи сервісу, згода на її обробку не потрібна. Воно потрібне тільки на використання іншої інформації - наприклад, для роботи алгоритму підбору персоналізований реклами.
Регуляція поширюється тільки на компанії, які працюють в країнах ЄС і з громадянами ЄС. Може здатися, що Регламент принесе користь (або шкоду) тільки громадянам відповідних країн, проте все не так просто: громадяни ЄС можуть перебувати на території інших країн, і «європейську» приналежність користувача буде складно ідентифікувати. Тому для великих корпорацій типу Google і Facebook буде зручніше використовувати Регламент стосовно всіх країн світу.
Мотивувати підкорятися вимогам Регламенту покликаний штраф за порушення в розмірі або 20 мільйонів євро, або 4% від глобального річного грошового обороту компанії, залежно від того, що більше.
Сьогодні, в перший день після вступу GDPR в силу, європейські активісти NOYB (None of Your Business, «не твоя справа») подали в суд на чотири сервіси: Facebook, WhatsApp, Instagram и Google. За їхніми словами, згода, яку дають користувачі цих сервісів, не відповідає вимогам Регламенту.