25 мая 2018 25.05.18 4 4131

«GDPR» — или почему ваша почта тонет в лавинообразном потоке обновленных политик конфиденциальности

+50

Заглядывали в свою почту недавно? Заметили среди груд спама и новостных рассылок прорву пришедших к вам писем с заголовком «Мы изменили нашу политику конфиденциальности...»? Если нет — поздравляем, вы счастливый человек, не прозябающий в мировой паутине. Если же ответ да — опять же поздравляем, но уже со вступлением в новую «эру» цифрового общества, где прозябать стало чуть безопаснее.

Шо?

25 мая 2018 года вступил в действие регламент под названием GDPR (General Data Protection RegulationОбщий Регламент по Защите Данных). Приняли этот двухсот-страничный талмуд ажно в 2016 году, на заседании Парламента Европейского союза. Данный документ на запутанном и сухом юридическом языке занудно объясняет, что с 25 мая 2018 года вступят в силу новые, более строгие и прозрачные правила обработки пользовательских данных.

И что такого, спросите вы? Кому сдались ваши личные данные? Ну, если они не сдались вам, будьте уверены — они сдались очень даже многим. Информация о вас собирается и распространяется постоянно. Ваши поисковые запросы. Ваша история браузера. Характеристики вашего устройства. Количество проведенных часов на сайтах. Всё это — не только ваши персональны данные, которые вы бессознательно передаёте сторонним сайтам, но также и одна из главнейших статей дохода для множества сайтов. По сути, наши персональные данные — это товар, который продается и покупается. Не верите? Прочтите сами. Например, в соглашении Aliexpress.

Мы можем раскрывать или передавать (неважно внутри или за пределами юридического лица Alibaba, осуществляющего контроль) Ваши Персональные Данные нашим партнерам и поставщикам услуг, нанятым нами лицами для содействия в оказании Вам услуг или которые иным образом осуществляют обработку Персональных Данных в целях, приведенных в данной Политике Конфиденциальности или сообщенных Вам в процессе сбора Ваших Персональных Данных. Такими партнерами или поставщиками услуг могут быть, например:

*Наши бизнес партнеры (например, в целях предоставлениями ими скидок или предложений, которые могут Вас заинтересовать);
*Маркетинговые платформы, такие как Google, Twitter, Facebook,* Instagram* и VKontakte и поставщики услуг по анализу пользовательского поведения, с целью подбора контента, который Вы видите при посещении наших Сайтов.

<...>

Для целей, указанных выше, мы можем передавать Ваши Персональные данные аффилированным компаниям и/или назначенными последними Поставщикам Услуг в пределах группы компаний Alibaba, которая состоит из компаний управляющих ведущими онлайн и мобильными торговыми площадками в потребительской и межкорпоративной торговле, а также занимающихся облачным программированием и предоставляющих другие услуги.

<...>

Вы можете это прочитать только потому что теперь GDPR обязывает компании указывать, что она собирается делать с вашей информацией и кому собирается передавать. Ранее такого списка даже не было в политике конфиденциальности.

Чтобы пользователь имел право отказаться от, в общем-то, безнаказанного использования своих личных данных, а так же внедрить в существующие компании новое отношение к политике безопасности пользовательской информации, и был принят GDPR.

Казалось бы, Европейский союз хоть и близко, но законы его распространяются только на членов этого самого союза. Следовательно, возникает вопрос — по что нашу неотесанную и родную земельку это должно касаться? Всё просто — данный регламент обязывает каждую компанию, собирающую какие-либо персональные данные у людей, находящихся на территории ЕС, следовать новому регламенту.

Так что, если вы решили порыбачить в Финском Заливе, немого надышались свежим морcким воздухом и неожиданно для себя зарулили аккурат в Финскую прибрежную деревушку, заместо какого-нибудь кордона Кузьмича, то на вас тут же будут распространяться пункты данного регламента.

Соответственно, «стороне собирающей пользовательские данные» (примерно так в регламенте обозваны те, кому вы передаете свою информацию) необходимо обновить свои пользовательские соглашения, чтобы даже какой-нибудь заблудившийся русский рыбак на территории Финляндии был стопроцентно уверен в сохранности своих персональных данных.

И шо?

Чтобы понять, что именно изменилось после вступления в силу данного закона, можно структурировать основные положения регламента:

«Право на забвение»

Все граждане, находящиеся на территории ЕС, имеют право требовать полное и абсолютное удаление своих персональных данных, переданных или собранных кем-либо. На практике это означает то, что любой человек может потребовать удалить не только контактную информацию, оставленную им при регистрации, но так же и все сопутствующие данные: IP-адреса, истории действий и запросов, предпочтения, технические данные об устройствах и т.п. И сервис/сайт/компания будет обязана подчиниться и полностью удалить хранимые о человеке данные.

Являясь, по сути, самым важным пунктом в регламенте, «Право на забвение» является так же самым малозначимым для людей, проживающих за пределами Евросоюза. Большинство сервисов и сайтов просто добавили к своим соглашениям небольшой раздел, относящийся только к людям, находящимся на территории ЕС. Таким счастливчикам предоставляется возможность обратиться по приведенным контактным адресам к специалисту и попросить удалить всю информацию о себе. Остальные же пользователи такой возможности лишены.

«Право на прозрачность»

А вот дальше уже идут более интересные положения, поскольку их, как правило, вносят в непосредственные политики конфиденциальности и влияют уже не только на ЕС, но и на остальных пользователей. Одно из таких положений — «право на прозрачность» или право на получение максимально доступной информации.

Теперь сайты должны максимально доступно и открыто, не скрываясь за стенкой юридического бубнежа, описать рядовому пользователю, куда, как и что будет происходит с его личной информацией.

Свеженькая политика конфиденциальности от Google. Вся важная информация разжевана до состояния простейших примеров, разложена по полочкам и вкладкам, ещё до кучи снабжена видео. Год назад на этом месте была просто стена текста с повторяющимися терминами «Третья сторона обязуется выполнять хурумбу-мумбу с предоставляемой первой стороной шумбой-юмбой»

«Право на знание»

Помимо доступности, сайты обязаны раскрывать какую именно информацию они получают от пользователя напрямую и в автоматическом режиме. Что они вправе делать с этой информацией. Куда именно они могут передавать эту информацию. Сколько эта информация может храниться. Одним из главных условий регламента является запрет на хранение личных данных, не используемых для работы сервиса или сайта.

Всё это должно быть описано в пунктах конфиденциальной политики.

«Право на защиту данных»

Еще одно положение, которое коснется всех пользователей — новые требования к защите конфиденциальной информации. Теперь политика безопасности должна ставиться в приоритете при работе любых сайтов или сервисов. Так, например, в регламенте делается отдельный упор на «Псевдономзацию» — процесс, в котором личные данные пользователей шифруются, а вместо них используется псевдонимы и на «Де-идентификацию» — общее название всех способов для предотвращения идентификации данных.

Отдельным пунктом здесь стоит так называемый «Data Protection Officer» — обзовем его как «Комиссар по Защите личных данных». Это новая должность, которая появится во всех крупных компаниях (от 250 человек, а так же в частных случаях), основанная задача которой — следить за сохранением конфиденциальности личных данных пользователей, соблюдением нового регламента и сопутствующей чепухой.

«Право на оповещение»

Трудно сказать, будет ли данный пункт распространяться на жителей не-Евросоюза, но всё же — компании обязаны оповещать пользователей в случае любых утечек их персональных данных.

Безусловно, это не все положения, приведенные в регламенте. Есть еще множество нюансов регистрации детей и подростков, право на требование всей собранной информации и тому подобных вещей, что вряд ли будут распространяться на пользователей не-Евросоюза.

А шо дальше то?

Ну, для жителей Евросоюза теперь интернет местами выглядит так:

Слева — оригинальный новостной сайт USA Today. Два баннера с таргетинг рекламой, push-up уведомление и рекламное видео. Справа — версия для стран ЕС, соответствующая регламенту.

На самом деле же, это временная пустота. Совсем скоро пустое место заполнится новенькой рекламой и баннерами, соответствующие новому законодательству. Вот только это будет уже не таргетинг реклама, использующая личную информацию.

А для нас же остальных, существует великолепная возможность — отписаться от сотен ненужных подписок, которые обходными путями получили доступ к вашей почте, а теперь имеющие шанс получить огромные штрафы, если продолжат отправлять рассылки на те почты, что не согласились с обновленными политиками конфиденциальности.

Читайте пользовательские соглашения, смотрите что подписываете и не ставьте где придется галочку.

* Деятельность родительской организации «Meta» признана экстремистской и запрещена на территории Российской Федерации


Лучшие комментарии

Мобильные геймдевы из Сербии даже презентацию запили о том как разные разработчики пытаются внедрить новое пользовательское соглашение.
С одной стороны, вроде всё это хорошо, с другой — нужен новый законопроект про теги и ключевые слова.
Обратил внимание на массовое изменение пользовательских соглашений, когда запускал судоку на телефоне. Именно в тот момент понял, что не понимаю, что происходит. Спасибо за разъяснение)
Спасибо за этот невероятно полезный «пост», на днях ранее пытался разобраться в «GDPR»… но это честное слово фиаско — страниц с юр. мишурой больше 50 что заставило выкатить глаза, ещё страниц 5-10 терминов. Короче в здравом уме будучи простым обывателем я такое не прочту.

*Штруляет из своего «Рейтингашникова» с зелёной обоймой длиной в 1мм в автора блога*
Читай также