Хабрахабр

«GDPR 2.0»: чего ждать от ePrivacy Regulation

В нашем блоге мы уже рассказывали об обработке персональных данных в Беларуси, регулировании в США и Европе. Обсудим еще один европейский законопроект, который будет своеобразным дополнением к GDPR и ужесточит правила работы с cookies и ПД.


/ Flickr / robmadeo / CC BY

Происхождение и цели ePrivacy Regulation

Сейчас в Европе (помимо GDPR) за описание механизмов работы с персональными данными пользователей «отвечает» директива ePrivacy Directive (PDF), которую приняли в 2002 году. Именно из-за неё владельцы сайтов начали запрашивать у посетителей согласие на использование cookie-файлов. Однако эта директива представляет собой лишь набор базовых правил, которые государства-члены ЕС могут модифицировать на свое усмотрение. Так сделали, к примеру, в Италии, изменив штрафы за утаивание утечек данных (национальный декрет Legislative Decree no. 69/2012, PDF).

По этой причине и появился проект ePrivacy Regulation. Однако в Европарламенте решили внести корректировки в текущее положение вещей и сделать требования ePrivacy Directive едиными и непреложными для стран ЕС.

При этом главная цель ePrivacy Regulation, по словам парламентариев, — защитить пользователей ИТ-сервисов от спама и навязчивой рекламы и укрепить их контроль над персональными данными (это прописано в главе второй, статьях №6–11). Новый законопроект призван дополнить и укрепить требования, сформированные GDPR.

Закон запрещал им выполнять какие-либо действия (запись, хранение, мониторинг) с телефонными разговорами и SMS-сообщениями без ведома и согласия клиентов. Ранее ePrivacy Directive регулировал работу только телекоммуникационных операторов. (полный список указан в статье №4 законопроекта). То теперь действие нового регламента решили распространить на приложения для коммуникации в интернете: мессенджеры, видеосвязь, электронную почту, IP-телефонию, IoT-гаджеты и др.

Однако из-за разногласий внутри парламента и отрицательной реакции ИТ-сообщества (об этом подробнее расскажем дальше) голосование отложили до 2019 года. ePrivacy Regulation планировали «запустить» одновременно с GDPR — 25 мая 2018.

Что гласит регламент

Регламент в очередной раз поднимает вопрос регулирования сookies и формирует требования к получению согласия на их обработку. По тексту документа, сookies могут быть обработаны и без ведома пользователя, но только если этот процесс обусловлен технической необходимостью для предоставления того или иного сервиса. Согласие пользователь должен будет давать для конкретных целей, а его отсутствие не должно влиять на качество или возможность предоставления услуги. То есть владелец ресурса обязан предоставить альтернативный вариант использования сервиса без cookies. При этом всю собираемую с помощью cookies информацию разрешено хранить лишь до тех пор, пока она нужна для работы сервиса.

В частности, изменения коснулись IoT-индустрии. Несмотря на то что работа с cookies является одной из главных тем законопроекта, в нем затрагиваются и другие аспекты, имеющие отношение к обработке персональных данных пользователей в сети. Это означает, что и поставщикам решений для умного дома, осуществляющих их постоянную поддержку на уровне экосистемы тематических устройств и приложений, придется получать согласие на передачу и обработку персональных данных. Согласно новому закону, передача данных от одного умного устройства к другому потребует пользовательского согласия.

Регламент обяжет рекламодателей раскрывать свои номера телефонов и использовать специальные префиксы, позволяющие идентифицировать рекламный звонок. При этом ePrivacy описывает ограничения для проведения прямых маркетинговых кампаний. При этом накладывается строгий запрет на спам — если пользователь не желает получать маркетинговые звонки или письма, то он должен быть внесен компанией в отдельный список (do-not-call list). В настоящее время эта информация почти всегда остается скрытой.


/ Flickr / Carsten Schertzer / CC BY

Максимальный штраф за нарушение норм ePrivacy Regulation составит от двух до четырех процентов годового дохода провинившейся компании или десять миллионов евро (статья №23 законопроекта). ePrivacy Regulation, как и GDPR, охватывает все организации, которые работают с данными резидентов стран ЕС, независимо от местоположения самой компании (статья №3 законопроекта).

Как «встретили» ePrivacy Regulation

В целом новый законопроект встретили довольно негативно. Связано это с опасениями тех компаний, на деятельность которых закон повлияет в первую очередь. Пока такое влияние оценивают исключительно на уровне прогнозов и исследований.

— Многим компаниям также придется переосмыслить ряд основных бизнес-процессов — так как, по сути, работа с cookies будет зарегулирована еще в большей степени по сравнению с ситуацией после ввода GDPR». «Новый регламент «ударит» по рекламному, маркетинговому и медиабизнесу, — делится мнением начальник отдела развития сервиса аренды инфраструктуры в облаке 1cloud.ru Сергей Белкин.

Исследование Developers Alliance, в который входит 70 тысяч программистов и представителей software-компаний, говорит, что ePrivacy повлияет не только на ИТ-сектор, но сократит доходы всего европейского бизнеса на 30%. По предварительным оценкам, предприятия потеряют 500 миллиардов евро. Группа энтузиастов даже записала видео, в котором показала негативную сторону ИТ-мира без cookies и рекламы.

Биргит Зиппель (Birgit Sippel), депутат Европарламента от Германии, отметила, что цель ePrivacy — вернуть людям контроль над персональными данными. В ответ на подобные аргументы депутаты Европарламента напоминают, что новый закон создают для защиты прав граждан, а не развития интернет-бизнесов. Задача законопроекта — показать, что конфиденциальность данных в цифровую эпоху нужна и возможна.

Дэниэл Далтон (Daniel Dalton), выступающий в Европарламенте от Британии, заявил, что ePrivacy превратит Европу в «цифровое болото». Отметим, что не все парламентарии согласны с Зиппель. Все представители компаний, с которыми говорил Далтон (от Microsoft и Google до небольших стартапов), выступают против ePrivacy. Разобраться в которые все еще адаптируются к GDPR.

Развязка наступит в 2019 году. Пока неизвестно, какая судьба ждет новый регламент (будут ли в него внесены какие-либо серьёзные изменения). Однако можно предположить, что «борьба» за принятие ePrivacy Regulation будет серьезной, возможно, сравнимой с той, которая развернулась вокруг GDPR.

P.S. Свежие материалы по теме из нашего корпоративного блога:

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть