Правила ЕС в отношении конфиденциальности данных когда-то высмеивались как ограничительные, но после скандала с Facebook чиновники в Брюсселе надеются, что они смогут прижать высокие технологии к ногтю.
Вера Юрова, комиссар юстиции ЕС, описывает GDPR как «заряженное оружие» в руках регуляторов. C 25 мая блок ЕС вводит в действие Общий регламент защиты данных, который, по мнению его сторонников, резко улучшит то, как организации в ЕС и других странах относятся к личным данным пользователей Интернета.
GDPR призван наладить защиту данных в крупнейшем в мире торговом блоке, предоставить больше прав отдельным лицам в отношении того, как будут использоваться их личные данные, оградить от опасностей детей и оптимизировать способность регулирующих органов бороться с нарушениями.
Когда новые правила были впервые предложены, многие руководители Силиконовой долины высмеивали их как ограничительные и антиконкурентные. Но после раздутого в прессе скандала, связанного с использованием Cambridge Analytica данных Facebook, подход Европы к конфиденциальности данных стал значительно более актуальным.
По мнению вдохновителей и регуляторов, GDPR может стать международной нормой, устанавливающей стандарты поведения не только в ЕС, но и в других странах, где до сих пор у людей было мало средств для защиты своих прав в Интернете.
«Европа оказалась впереди в этом вопросе», - призналась в прошлом месяце Шерил Сандберг, главный операционный директор Facebook.
Тем не менее, к моменту, когда начался финальный отсчет перед вступлением регламента в силу (25 мая), в видении ЕС появляются трещины. Многие компании оказались не готовы к новым правилам, и несколько стран не смогли принять необходимое законодательство для их реализации на национальном уровне. Также были подняты серьезные вопросы о способности органов защиты данных обеспечить надлежащее соблюдение новых правил в рамках блока.
«Почти все откладывали этот вопрос до последнего момента, несмотря на то, что был заранее установлен двухлетний срок», - говорит Гарри Мал из Baker McKenzie, - «Довольно много компаний на самом деле так и не озаботились этим вопросом всерьез».
Даже критики признают, что GDPR внесет определенный порядок в правила, определяющие, как личные данные обрабатываются по всей Европе. Это требует, чтобы любая организация в любой точке мира обрабатывала личную информацию гражданина ЕС в соответствии с регламентом, чтобы эта организация была прозрачной в отношении того, как она собирает, хранит и обрабатывает личные данные.
Организации должны получить от частных лиц однозначное согласие на использование и хранение данных, их обновление и удаление. Если компании работают с большим объемом личных данных, они должны будут назначить специального офицера по защите данных.
Потребители будут иметь право попросить удалить их данные из баз данных компаний. Правила запрещают компаниям обрабатывать данные о расе, этнической принадлежности, политических убеждениях, религиозных убеждениях, членстве в профсоюзах или сексуальной ориентации без явного согласия.
В конечном счете, сила влияния GDPR будет зависеть от того, решат ли индивидуумы использовать свои более широкие полномочия, которые предоставляют им правила. Регламент являются частью растущего во всем мире стремления к тому, чтобы клиенты «взрослели» в цифровом отношении, и большей ответственностью относились к собственной личной информации.
Сторонники надеются, что GDPR поможет людям стать более требовательными и более осведомленными о своих правах.
«Субъекты данных будут все больше осознавать свои права, и не будут мириться с недобросовестными действиями компаний», - считает Хелен Диксон, комиссар по защите данных Ирландии.
Но она также указывает на то, что число зарегистрированных пользователей Facebook даже увеличилось в разгар скандала с Cambridge Analytica. Она считает это примером так называемого «парадокса конфиденциальности». Он означает, что, несмотря на то, что люди утверждают, что контроль над их данными важен для них, они остаются в целом инертными когда теряют этот контроль.
Влияние GDPR уже распространяется за пределы ЕС. По словам Грэма Гринлифа, профессора правовых и информационных систем Австралийского университета в Новом Южном Уэльсе, в 2017 году во всем мире были приняты законы о защите данных, но GDPR, вероятно, является самым широким и самым строгим.
Любая страна, желающая участвовать в торговой сделке с ЕС, должна будет подписаться под требованиями GDPR.
Многим крупным международным корпорациям также имеет смысл применять GDPR в глобальном масштабе как с точки зрения затрат, так и с точки зрения согласованности. Регуляторы в таких местах, как Гонконг, которые основывают свои законы на директиве ЕС о защите данных от 1995 года, заявили, что намерены обновить законодательство с учетом GDPR.
Однако, несмотря на позитивные глобальные прогнозы, есть большие вопросы о том, как этот регламент будет реализован в ЕС на практике.
GDPR в цифрах.
78% мирового населения к 2025 году будет пользоваться личными цифровыми устройствами.
163 зеттабайта - таков прогнозируемый размер используемых глобальных данных к 2025 году, по сравнению с 16zb в 2016 году.
90% данных будут классифицированы как нуждающиеся в безопасности к 2025 году, но только для 50% будет обеспечена безопасность.
Учитывая объемы новых правил, которые занимают более 200 страниц, подготовка к GDPR оказалась как обременительной, так и дорогостоящей.
Согласно данным исследования, проведенного юридической фирмой Axiom, каждой компании британского индекса FTSE 100 пришлось потратить в среднем £ 15 млн., чтобы соответствовать регламенту.
Между тем, в США Международная ассоциация профессионалов в области конфиденциальности и EY заявляют, что члены Global 500 потратят все вместе $ 7,8 млрд. на соответствие, в среднем около $ 16 млн. на каждую компанию.
Опрос показывает, что компаниям из списка Global 500 приходилось нанимать в среднем пять штатных сотрудников для обеспечения конфиденциальности, а также еще пять сотрудников на неполный рабочий день.
Некоторым компаниям пришлось провести проверку того, какую информацию они хранят, при этом задача «чистки» баз данных старой или дублированной информации и вопросы согласования часто занимали месяцы рабочего времени.
Для одного небольшого кадрового агентства из Лондоне (в этом бизнесе личные данные о потенциальных клиентах жизненно важны) подготовка к GDPR включала «не только проект базы данных, но и целую программу изменений». Компания наняла одного сотрудника только для того, чтобы «почистить» данные о соискателях и связаться с ними для получения согласия на дальнейшее хранение их данных.
«Нам помогло то, что, часть информации была общественным достоянием, например хранилась в LinkedIn или на личных веб-сайтах», - говорит сотрудник в агентства, отвечающий за внедрение новых правил.
Учитывая масштаб этой задачи, значительное число организаций не сможет своевременно подготовиться к 25 мая. Опрос, проведенный в феврале аналитической компанией SAS среди примерно 200 международных компаний, показал, что менее половины опрошенных будут полностью готовы к установленному сроку.
Небольшие компании в ЕС и других странах подвергаются особому риску. В марте Федерация малых предприятий Великобритании выяснила, что менее одного из каждых 10 малых предприятий в Великобритании полностью подготовились к GDPR, причем чуть ли не каждая пятая даже не знала о существовании новых правил.
Отстают не только компании. В январе Европейская комиссия заявила, что из 28 государств-членов блока только Австрия и Германия полностью приняли изменения в своем законодательстве в преддверии новых правил. В то время как страны, такие как Великобритания, должны будут принять законы в последнюю минуту.
Международная юридическая компания Baker McKenzie заявляет, что пять стран ЕС - Болгария, Греция, Мальта, Португалия и Румыния даже не опубликовали законопроект или соответствующую информацию о том, как они будут внедрять GDPR.
Для компаний невыполнение новых требований может грозит большими издержками. Штрафы могут составлять до 4% от глобального оборота или 20 миллионов евро, в зависимости от того, что больше. Репутационный ущерб может быть еще выше.
Есть серьезные сомнения в том, справятся ли с задачей те, кто отвечает за соблюдение новых правил.
Еще в 2015 году Джейкоб Конштамм, бывший председатель Нидерландского агентства по защите данных, предупреждал, что у организаций, которые нарушают правила, «мало шансов быть пойманными». Учитывая бюджет на проведение расследований,
«вероятность того, что регулятор постучит в вашу дверь, составляет менее одного раза за тысячу лет».
Ресурсы, доступные большинству европейских Органов защиты данных, по-прежнему составляют незначительную часть от объема, доступного в Северной Америке. Они увеличились примерно на четверть в ответ на возросшие требования, которые налагает на них GDPR.
Джованни Буттарелли, офицер по защите данных ЕС, в конце прошлого года предупредил, что число людей, работающих в регуляторах в ЕС составляет около 2500 человек - «у нас есть не так много людей, чтобы контролировать соблюдение сложного закона, который будет применяться ко всем компаниям в мире, работающим с Европой».
В сентябре прошлого года Элизабет Денхэм, Комиссар по информации Великобритании, сказала, что ей нужно больше сотрудников с лучшей зарплатой, чтобы регулятор смог эффективно обеспечивать соблюдение ВВП. После повышения правительственного финансирования Управление Информации увеличит численность персонала на треть до 700 к 2020 году. Органы защиты данных и компании во всем блоке сейчас пытаются справиться с проблемой найма квалифицированного персонала, в котором они нуждаются.
«Потребуется время, чтобы выстроить кадровую работу», - говорит Денхэм, - «Мы начали исследовать опыт ... социальных медиа-компаний и выборов. Я бы назвала это более проактивной культурой. Весь подход должен измениться».
Офис Диксон в Ирландии насчитывает 100 сотрудников, и в этом году она планирует привлечь еще 40 человек, в результате чего в страховом секторе будут работать судебные и уголовные адвокаты и сотрудники, имеющие опыт расследования.
Диксон хорошо знает масштаб предстоящей задачи, учитывая, что Дублин является европейской штаб-квартирой для многих технических групп США, таких как Facebook, Twitter, Dropbox, LinkedIn и Airbnb.
В соответствии с GDPR Орган защиты данных (DPA) будет играть ведущую роль в таких случаях, как нарушения данных и связанные с ними вопросы. В нынешней же ситуации, компания может столкнуться с несколькими юридическими проблемами со стороны регулирующих органов в разных странах-членах ЕС.
Facebook будет ответственностью Ирландского DPA, поскольку центральная администрация компании находится в Ирландии. Для компаний, таких как Google, которые предоставляют услуги через свою международную штаб-квартиру, регулирование будет зависеть от ее деятельность в конкретных странах Европы. Это позволяет сделать менее понятным, какой именно DPA контролирует использование данных и методы конфиденциальности данных компании.
Есть и другие серые области. Компании, занимающиеся рекламными технологиями, которые собирают данные со сторонних веб-сайтов, возможно, должны получить согласие от пользователей. Google попытался справиться с этим, указав себя как «контролер» данных в рамках GDPR при обработке информации сторонних лиц. Но компании было отказано в этой роли, что вызвало озабоченность у ее пользователей.
Сторонники неприкосновенности конфиденциальности выражают резкое недовольство недостатками GDPR.
Но чиновники из Брюсселя надеются, что правила станут новой отправной точкой в том, как контролируется личная информация.
Новые правила конфиденциальности данных в Европе основаны на основном принципе, согласно которому отдельные лица, а не компании, должны владеть своей личной информацией. По мнению Тима Бернерса-Ли, британского компьютерного ученого, одного из изобретателей всемирной сети, личные данные имеют решающее значение для сохранения конкуренции в Интернете, в котором, по его словам, все чаще доминируют несколько платформ.
«Мы можем представить лучший мир ... у вас будет больше возможностей при выборе поисковой системы и социальной сети, к которой можно присоединиться. Все ваши фотографии на LinkedIn, Flickr и Facebook будут вашими. В лучшем мире у вас будет полный контроль над вашей информацией».
Законодатели, которые разработали Общий регламент защиты данных, посетили летом 2016 года Массачусетский технологический институт, где базируется сэр Тим. Там они провели короткое обсуждение их децентрализованного веб-проекта.
Идея, которая уже была реализована некоторыми неправительственными организациями и брокерами данных, является главной линией GDPR. Эти правила обязывают компании разрешать гражданам загружать свои данные в «широко используемый и машиночитаемый формат», который позволит им делиться или продавать их другим компаниям.
Это теоретически позволило бы пользователю перемещать свои данные из компании в компанию или продавать ее за определенную цену. Однако Робин Джек, независимый аналитик, говорит, что большинство данных по-прежнему нельзя использовать.
«Данные сырые. Существует множество вещей, которые несовместимы, например, форматы дат».
Социальные сети утверждают, что собранные ими данные по своей сути несовместимы с другими компаниями. Например, профили пользователей, созданные Facebook, нельзя сопоставить с категориями стиля жизни, созданными Snapchat.